Witam kolegów,
mam problem, a mianowicie zapytanie do DB nie zwraca żadnego wyniku ani błędu. Gdy wpiszę w miejsce zmiennej $data2 datę z palca np. "2020-11-10" wszystko hula. Gdy pobieram z formularz nie działa.
.
$dataRok = new DateTime($_POST['wybierz']); http://www.php.net/echo $data2 = $dataRok->format('Y-m-d').'</br></br>'; $wybierzWinde = $db_polaczenie->prepare('SELECT formularz_rejestr.Adres, formularz_rejestr.Rodzaj, rewizje.Data_nast_rew FROM formularz_rejestr, rewizje WHERE formularz_rejestr.Id_rejestr = rewizje.Id_rejestr AND rewizje.Data_nast_rew >='.$data2); $wybierzWinde->execute(); $rezultat = $wybierzWinde->fetchALL(PDO::FETCH_ASSOC); foreach ($rezultat as $row) { http://www.php.net/echo ('<tr><td>'.$row['Adres'].'</td><td>'.$row['Rodzaj'].'</td><td>'.$row["Data_nast_rew"].'</td></tr></br>');
A co zaraca formularz
Wlacz sobie raportowanie bledow
http://forum.php.pl/MySQL_Problem_z_zapytaniem_t268770.html
żebyś wiedział gdzie szukać, to dwie rzeczy ze zmienną $data2 są źle, jedna w definicji zmiennej, druga w samym zapisie zapytania. A tak poza tematem to ten post w ogóle nie w tym miejscu.
Formularz przesyła datę, która ma być porównana klauzulą WHERE z datą w DB i zgodnie z relacją utworzoną w zapytaniu zwrócić zawartość odpowiednich rekordów.
Jeśli mogę, to proszę o więcej wskazówek, studia informatyczne skończyłem ponad 10 lat temu i przez ten czas nie zajmowałem się programowaniem. Teraz musze się uczyć tego od nowa.
Data w mysql-u ma okreslony format i jest wyrażona stringiem. W definicji zmiennej format daty jest zły, bo dodałeś dwa tagi br, wyrzuć je. W zapytaniu ta zmienna nie jest zaprezentowana jako string. Poczytaj w php czym różni się cudzysłowów od apostrofu.
ok, dzięki za podpowiedź. Wydawało mi się, że gdy użyje metody ->format klasy DateTime to php sformatuje zmienną do odpowiedniego typ. Po usunięciu tagów, teraz wyświela tylko daty wyzerowane. Wygąlą da na to, że do DB wysyła "1970-01-01"
_rejestr = rewizje.Id_rejestr AND rewizje.Data_nast_rew <='.$data2);
<form action="" method="post"> <input type="date" name="wybierz"></input></br></br> <input type="submit" name="Wyślij"></input></br></br> </form> <?php $dataRok = new DateTime($_POST['wybierz']); http://www.php.net/echo $data2 = $dataRok->format('Y-m-d'); $wybierzWinde = $db_polaczenie->prepare('SELECT formularz_rejestr.Adres, formularz_rejestr.Rodzaj, rewizje.Data_nast_rew FROM formularz_rejestr, rewizje WHERE formularz_rejestr.Id[php]
W Twoim zapytaniu do BD przesłane jest np.
W jaki sposób się zabezpieczasz jeżeli format daty jest nieprawidłowy? Tak, pytanie mające tylko dac do myślenia.
Jak wobec tego powinienem zaklarować tę zmienną? Jak ją przekonwretować na string?
- new DateTime otoczone blokiem try / catch
- dane z post do zapytania więc mają być POPRAWNIE zabezpieczone (prepare ma zawierać placeholder a nie dane z POST)
- data jest stringiem więc w zapytaniu kolumna = '2020-01-01' albo funkcja DATE() w mysql. Jak zrobisz poprawnie pkt wyżej będzie dobrze.
To że ustawiłeś sobie date w formie mogę w 5 sekund zmienić w narzędziach developerskich albo wysłać zupełnie inaczej. Co to znaczy że dane są fetchowane? Wszędzie tam gdzie wkładasz dane od użytkownika w swoim kodzie musisz to zabezpieczyć.
Widzę, że czeka mnie mnóstwo czytania na temat praktyk tworzenia bezpiecznych aplikacji webowych. Bezmyślnie uznałem, że metoda fetchALL::DateTime() zabezpiecza dane z POSTA. Jesze raz dziękuję za zwrócenie mi uwagi. Po 10 latach BEZ kodowania myślałem, że coś jeszcze pamiętam, teraz widzę jak się pomyliłem
walidacja danych z formularza dotyczy wszystkich przesyłanych danych bez wyjątku, nie tylko daty. Na to, co napisał viking chciałem zwrócić uwage nieco później, jak byś się uporał z wyświetleniem danych z tego zapytania. Mam nadzieję, że zrozumiałeś w czym tkwił błąd. Przecież nawet w opisie typu date mysql-a stoi jak byk:
"MySQL pobiera i wyświetla wartości DATE w formacie 'RRRR-MM-DD'." I zapenwe widzisz te pazurki w których jest ujęta data.
Manual, manual, manual.
gino dzięki - działa. Na laboratorium programowania uczono mnie, że to " ' ' " i ' " " ' można stosować zamiennie. Tyle, że nie pamiętam z którego języka to było programowanie. Jak widać w php muszę na to uważać. Jeszcze raz dziękuję.
Tylko że u ciebie nie to było bezpośrednio problemem tylko nieprawidłowo użyty prepare. Prawidłowo użyty odpowiednio by to wysłał do zapytania.
Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)