[php], [mysql] Dodawanie rekordów do BD z poziomu strony, nie bangla Opcje

[kurys]

Chcę zrobić proste zaplecze administracyjne tak żeby dodawać na stronie artykuły (rekordy do tabeli"artykuly") z poziomu strony a nie poprzez phpMyAdmin. Zrobiłem formularz w form.php, w którym wszystko będę dodawał:

[HTML] pobierz, plaintext 
 
<form  method="post" action="admin.php">
<div>
 
Tytuł <input type="text" name="tytul"/><br/>	
Kategoria <select name="kategoria">
		<option>Pierwsza</option>
		<option>Druga</option>
	</select><br/>
Autor <select name="autor">
		<option>Chuck</option>
		<option>Norris</option>
	</select><br/>
Data <input type="datetime" name="data" value="2012-MM-DD GG:MM:00"/><br/>
Wstęp <textarea cols="20" rows="10" name="wstep" >
<p style="text-align: justify;"><img style="margin-right: 2px; float: left;" src="images/news/OBRAZEK.jpg" /><strong>TEKST</strong></p></textarea><br/>
Treść <textarea cols="20" rows="10" name="tresc">
<p style="text-align: justify;">TEKST</p>
 
<p style="text-align: justify;">TEKST</p>
 
<p style="text-align: justify;">TEKST</p>
 
<p style="text-align: justify;">TEKST</p>
 
<p style="text-align: right;"><strong>Źródło: ZRODLO</strong></p>
</textarea><br/>
Główny <select name="glowny">
		<option>0</option>
		<option>1</option>
	</select><br/>
</div>
<input type="submit" value="Dodaj"/></form>
[HTML] pobierz, plaintext 

W pliku admin.php sprawdziłem czy wszystko poprawnie się wyświetla bez dodawania tego do bazy danych, przy poniższym kodzie jest wszystko okej:

[PHP] pobierz, plaintext 
 
<?php
 
echo "Podgląd newsa: </br><br/>";
echo $_POST['tytul'], "<br/>";
echo $_POST['wstep'], $_POST['tresc'], "<br/>";
echo "Kategoria: ", $_POST['kategoria'], "<br/>";
echo "Data: ", $_POST['data'], "<br/>";
echo "Autor: ", $_POST['autor'], "<br/><br/>";
if($_POST['glowny']==1) echo "News główny, zmień poprzedni";
else echo "Keep calm, news dodany jako zwykły";
 
?>
 
[PHP] pobierz, plaintext 

Ale gdy chcę żeby teraz te dane dodało mi do BD, to zamiast pięknie się wczytać i dodać je, wywala mi błąd 500 i nic się nie wczytuje. Próbowałem to dodać na dwa sposoby (poniżej już bez tego wcześniejszego wyświetlania, same fragmenty z mysql):

Pierwszy z INSERT INTO tabela VALUES wartosci:

[PHP] pobierz, plaintext 
 
<?php
 
mysql_connect("localhost", "root", "root");
 
mysql_select_db("artykuly");
 
$zapytanie="INSERT INTO artykuly (tytul, kategoria, autor, data, wstep, tresc, glowny) VALUES ($_POST['tytul'], $_POST['kategoria'], $_POST['autor'],
$_POST['data'], $_POST['wstep'], $_POST['tresc'], $_POST['glowny'])";
 
$wykonaj=mysql_query($zapytanie);
 
?>
[PHP] pobierz, plaintext 

Oraz drugi wykorzystując INSERT INTO tabela SET wartosc1='a' wartosc2='b':

[PHP] pobierz, plaintext 
 
<?php
 
mysql_connect("localhost", "root", "root");
 
mysql_select_db("artykuly");
 
$zapytanie="INSERT INTO artykuly SET tytul='$_POST['tytul']', kategoria='$_POST['kategoria']', autor='$_POST['autor']', data='$_POST['data']',
wstep='$_POST['wstep']', tresc='$_POST['tresc']', glowny='$_POST['glowny']' ";
 
$wykonaj=mysql_query($zapytanie);
 
?>
[PHP] pobierz, plaintext 

Co jest nie tak? Może przeoczyłem jakiś nawias albo cudzysłów/apostrof, ale sprawdzałem to kilka razy. Próbowałem też dawać /" zamiast ', próbowałem bez apostrofów, ale nadal to samo...

[b4rt3kk]

Nie możesz w ten sposób wstawiać zmiennych w zapytanie:

[PHP] pobierz, plaintext 
$zapytanie="INSERT INTO artykuly (tytul, kategoria, autor, data, wstep, tresc, glowny) VALUES ($_POST['tytul'], $_POST['kategoria'], $_POST['autor'],
$_POST['data'], $_POST['wstep'], $_POST['tresc'], $_POST['glowny'])";
[PHP] pobierz, plaintext 

Po pierwsze:

[SQL] pobierz, plaintext 
INSERT INTO tabela (pole) VALES ('wartosc_pola')
[SQL] pobierz, plaintext 

zamykasz zmienne pomiędzy apostrofami

Po drugie:

[PHP] pobierz, plaintext 
$tytul = $_POST['tytul'];
[PHP] pobierz, plaintext 

[PHP] pobierz, plaintext 
$zapytanie="INSERT INTO artykuly (tytul, kategoria, autor, data, wstep, tresc, glowny) VALUES ('$tytul', '$kategoria')";
[PHP] pobierz, plaintext 

Lub jeśli nie chcesz przepisywać zmiennych zbuduj w ten sposób zapytanie:

[PHP] pobierz, plaintext 
$zapytanie="INSERT INTO artykuly (tytul, kategoria, autor, data, wstep, tresc, glowny) VALUES ('".$_POST['tytul']."', '".$_POST['kategoria']."')";
[PHP] pobierz, plaintext 

Ten post edytował b4rt3kk 4.09.2012, 12:30:45

[viking]

Zobacz dokładnie dlaczego zwracany jest błąd 500. Serwer powinien podać w logach szczegółową informację. Tak to wróżenie z fusów. Możesz też od razu wywalić te wszystkie mysql_* i poczytać o PDO oraz SQL Injection.

Ten post edytował viking 4.09.2012, 12:29:34

[kurys]

b4rt3kk,

wielkie dzięki (IMG:style_emoticons/default/smile.gif) po samym dodaniu apostrofów czyli

[PHP] pobierz, plaintext 
'$_POST('tytul')'
[PHP] pobierz, plaintext 

nadal było to samo, kiedy użyłem już samego '$tytul' to owszem, admin.php został i wszystko wyświetliło się poprawnie, ale nic nie zostało dodanego do bazy. Ta zmienna na pewno jest równa wartości z tablicy?

Co do ostatniego sposobu - działa perfecto!

viking, ten błąd jest chyba wywalany wtedy kiedy mam jakiś błąd w kodzie, bo już parę razy tak miałem, ale wolałem też i to dodać. W każdym razie przeglądarka wyświetla mi komunikat:

Błąd HTTP 500 (Internal Server Error): Napotkano nieoczekiwaną sytuację przy próbie zrealizowania żądania przez serwer.

[b4rt3kk]

Jeśli uprzednio nie dokonasz przepisania wartości z tablicy $_POST na zmienne, np. $tytul no to oczywiście będą one puste i nic nie wstawisz do bazy. (IMG:style_emoticons/default/smile.gif) Ja osobiście preferuje taki sposób, bo łatwo się pogubić w masie kropek i apostrofów.

[peter13135]

Można bezpośrednio wrzucić element tablicy $_POST do zapytania, choćby tak :

[PHP] pobierz, plaintext 
$q = 'SELECT * FROM `tabela` WHERE id=' . (int)$_POST['id']
[PHP] pobierz, plaintext 

albo tak :

[PHP] pobierz, plaintext 
$q = "SELECT * FROM `tabela` WHERE id={$_POST['id']}"  
[PHP] pobierz, plaintext 

Jednak drugi przypadek jest niezabezpieczony przed sqlInjection.

Na początek dobrym pomysłem może być użycie sprintf

[PHP] pobierz, plaintext 
$q = sprintf( 'SELECT * FROM `tabela` WHERE id %d=', (int)$_POST['id']) 
[PHP] pobierz, plaintext 

[viking]

viking, ten błąd jest chyba wywalany wtedy kiedy mam jakiś błąd w kodzie, bo już parę razy tak miałem, ale wolałem też i to dodać. W każdym razie przeglądarka wyświetla mi komunikat:

To ja wiem. Tylko jeśli zajrzysz w logi serwera zobaczysz że będzie tam pewnie błąd składni near something. Musisz nauczyć się czytać błędy bo daleko nie pociągniesz w programowaniu. I zamiast polecanych tu udziwnień naprawdę zainteresuj się bindowaniem parametrów bo a) jest to bezpieczne, b) rozszerzenie mysql wyleci z przyszłych wersji PHP, c) jak uczyć się to porządnie. Aktualnie twój kod jest podatny na byle włamanie.

[kurys]

b4rt3kk,

no tak, ale dałem ciała z tym (IMG:style_emoticons/default/wink.gif) teraz to uzupełniłem:

[PHP] pobierz, plaintext 
$tytul=$_POST['tytul'];
$kategoria=$_POST['kategoria'];
$autor=$_POST['autor'];
$data=$_POST['data'];
$wstep=$_POST['wstep'];
$tresc=$_POST['tresc'];
$glowny=$_POST['glowny'];
[PHP] pobierz, plaintext 

ale nadal jest tak samo, najwyżej potem jeszcze pogrzebię.

peter13135,

dzięki, ale moja obecna znajomość php jest właśnie na poziomie przedszkolnym i też niezbyt rozumiem skąd ` i nawiasy klamrowe, a tak w ciemno nie chcę kombinować. Kiedyś jeszcze do tego fragmentu wrócę jak znajdę chwilkę, kiedyś może być przydatny (IMG:style_emoticons/default/smile.gif)

viking,

dzięki za rady, o bindowaniu też poczytam. A w jaki sposób te logi sprawdzić?

Ten post edytował kurys 4.09.2012, 14:07:57

[viking]

W zależności od tego gdzie zainstalowałeś serwer. Nic nie napisałeś więc ciężko powiedzieć. Pod linuksem standardowo szukaj w /var/log, pod win w ścieżce instalacji httpd-error.log czy coś takiego w folderze zapewne logs. Na początku skryptu daj:

[PHP] pobierz, plaintext 
error_reporting(-1);
[PHP] pobierz, plaintext 

Tworzenie potworów w stylu $a =$b; powtarzane x100 nie ma sensu bo tylko pamięć zapychasz. Albo poprawnie zamykaj stringi ', " albo \", \' albo jeszcze przykład ze sprintf z dokumentacji http://www.php.net/manual/en/function.mysql-query.php i obowiazkowo mysql_real_escape_string()

[kurys]

Ok, mam taki opis błędu:

[:error] [pid 17992:tid 1060] [client ::1:36856] PHP Parse error: syntax error, unexpected '' (T_ENCAPSED_AND_WHITESPACE), expecting identifier (T_STRING) or variable (T_VARIABLE) or number (T_NUM_STRING)

w linii 37, czyli:

[PHP] pobierz, plaintext 
$zapytanie="INSERT INTO artykuly (tytul, kategoria, autor, data, wstep, tresc, glowny) VALUES ('$_POST['tytul']', '$_POST['kategoria']', '$_POST['autor']',
[PHP] pobierz, plaintext 

Tylko nie wiem dlaczego " nie powinno tam być...

[viking]

Przepisz to na:

[PHP] pobierz, plaintext 
$query = sprintf("INSERT INTO artykuly (tytul, kategoria, autor, data, wstep, tresc, glowny) VALUES ('%s', '%s'.......);",
    mysql_real_escape_string($_POST['tytul']),
    mysql_real_escape_string($_POST['kategoria']),....);
[PHP] pobierz, plaintext 

Albo jeszcze lepiej w PDO:

[PHP] pobierz, plaintext 
$sql = "INSERT INTO artykuly (tytul, kategoria, autor, data, wstep, tresc, glowny) VALUES(:tytul, :kategoria....)";
$sth = $dbh->prepare($sql);
$sth->bindParam(':tytul', $_POST['tytul'], PDO::PARAM_STR);
$sth->bindParam(':kategoria', $_POST['kategoria'], PDO::PARAM_STR);
[PHP] pobierz, plaintext 

http://wwwgo.pl/article/10/php_data_object...luge_baz_danych