Forum PHP.pl

Forum PHP.pl > Forum > Bazy danych > MySQL

[PHP][SQL] Przeszukiwanie bazy danych. Wyciaganie ze zmiennej jej czesci.

Gallar Zobacz profil	9.03.2009, 09:55:29 Post #1
Grupa: Zarejestrowani Postów: 4 Pomógł: 0 Dołączył: 9.03.2009 Ostrzeżenie: (0%)	Witam serdecznie. Od dłuższego czasu głowie się stworzeniem wyszukiwarki. Problem - który próbowałem ugryźć na kilkanaście sposobów - wygląda następująco: Posiadam dwie bazy danych MySQL 'mieszkaniac5' i 'mieszkaniac6'. W bazach interesują nas kolumny: 'bud' - przybiera wartości dla mieszkaniac5 1-2, dla mieszkaniac6 3-5; 'nr'; 'pietro'; 'pow_uzyt'; 'taras'; 'ogródek'; 'ilosc_pokoi'; 'price' podejście numer 1: index.html [HTML] pobierz, plaintext <?php [codebox]<html> <head> <script typ="text/javascript" src="grid.js"></script> <link href="grid.css" type="text/css" rel="sytlesheet"/> </head> <body onlaod="init();"> <align="center"> <form action="grid.php" method="post"> Cena:<br> Od: <input type="text" name="AA" /> do <input type="text" name="AB" /> <br> Wielkość w m2:<br> Od: <input type="text" name="BA" /> do <input type="text" name="BB" /> <br> Ilość pokoi:<br> Od: <input type="text" name="CA" /> do <input type="text" name="CB" /> <br> Piętro:<br> Od: <input type="text" name="EA" /> do <input type="text" name="EB" /> <br> Nr. mieszkania: <input type="text" name="FA" /> <br> <br> <input type="submit" value="Szukaj!" /> </form> </align> </body> </html>[/codebox] ?> [HTML] pobierz, plaintext grid.php [PHP] pobierz, plaintext CODE <?php // program wyszukiwarki - grid.php // wyświetlenie nagłówka echo'<h2>Wyniki wyszukiwania</h2>'; // usunięcie niepotrzebnych białych znaków $_post['AA']=trim($_post['AA']); $_post['AB']=trim($_post['AB']); $_post['BA']=trim($_post['BA']); $_post['BB']=trim($_post['BB']); $_post['CA']=trim($_post['CA']); $_post['CB']=trim($_post['CB']); $_post['EA']=trim($_post['EA']); $_post['EB']=trim($_post['EB']); $_post['F']=trim($_post['F']); $AA = $_post['AA']; $AB = $_post['AB']; $BA = $_post['BA']; $BB = $_post['BB']; $CA = $_post['CA']; $CB = $_post['CB']; $EA = $_post['EA']; $EB = $_post['EB']; $F = $_post['F']; require_once ('error_handler.php'); require_once ('config.php'); $mysqli=mysqli_connect ('xxx', 'xxx', 'xxx', 'xxx'); $query="SELECT 'bud', 'nr', 'pietro', 'pow_uzyt', 'taras', 'ogrodek', 'ilosc_pokoi', 'price' FROM mieszkaniac5 WHERE pietro BETWEEN '{$EA}' AND '{$EB}' OR pow_uzyt BETWEEN '{$BA}' AND '{$BB}' OR ilosc_pokoi BETWEEN '{$CA}' AND '{$CB}' OR price BETWEEN '{$AA}' AND '{$AB}' OR nr='{$F}'" ; $results=$mysqli->query($query) or die( mysql_error ()) ; // ustalenie ilości wyszukanych obiektów if(empty($results)) // jeśli nie, to wyświetl komunikat i zakończ działanie skryptu { die('Formularz wypełniony niepoprawnie! Nie można wyświetlić wyników wyszukiwania!'); } // jeśli jednak dane są wpisane poprawnie else { $obAmount=mysql_num_rows($results); // TU WYSTĘPUJE BŁĄD // wyswietlenie iloœci wyszukanych obiektów echo'Znaleziono: '.$obAmount.'<br /><br />'; for($x=0;$x<$obAmount;$x++) { // przekształcenie danych na tablicę $row=mysql_fetch_assoc($results); // wyœwietlenie numeru identyfikacyjnego echo $x+1; echo '. '; // wyœwietlenie nazwy produktu echo $row['pr_name']; echo'<br />'; } } // zamknięcie połączenia mysqli_close($mysqli); // koniec aplikacji ?> [PHP] pobierz, plaintext Niestety występuję błąd - jakby zmienne były permanentnie puste... Pomijam w tym momencie problem dwóch tabel w bazie... Podejście numer dwa: index wygląda tak samo za to w grid: [PHP] pobierz, plaintext CODE <?php // program wyszukiwarki - grid.php // wyświetlenie nagłówka echo'<h2>Wyniki wyszukiwania</h2>'; // usunięcie niepotrzebnych białych znaków $_post['AA']=trim($_post['AA']); $_post['AB']=trim($_post['AB']); $_post['BA']=trim($_post['BA']); $_post['BB']=trim($_post['BB']); $_post['CA']=trim($_post['CA']); $_post['CB']=trim($_post['CB']); $_post['EA']=trim($_post['EA']); $_post['EB']=trim($_post['EB']); $_post['F']=trim($_post['F']); $AA = $_post['AA']; $AB = $_post['AB']; $BA = $_post['BA']; $BB = $_post['BB']; $CA = $_post['CA']; $CB = $_post['CB']; $EA = $_post['EA']; $EB = $_post['EB']; $F = $_post['F']; require_once ('error_handler.php'); require_once ('config.php'); $mysqli=mysqli_connect ('xxx', 'xxx', 'xxx', 'xxx'); $query="SELECT 'bud', 'nr', 'pietro', 'pow_uzyt', 'taras', 'ogrodek', 'ilosc_pokoi', 'price' FROM mieszkaniac5 WHERE pietro BETWEEN '$EA' AND '$EB' OR pow_uzyt BETWEEN '$BA' AND '$BB' OR ilosc_pokoi BETWEEN '$CA' AND '$CB' OR price BETWEEN '$AA' AND '$AB' OR nr='$F'" ; $results=$mysqli->query($query) or die( mysql_error ()) ; // ustalenie ilości wyszukanych obiektów if(empty($results)) // jeśli nie, to wyświetl komunikat i zakończ działanie skryptu { die('Formularz wypełniony niepoprawnie! Nie można wyświetlić wyników wyszukiwania!'); } // jeśli jednak dane są wpisane poprawnie else { $obAmount=mysql_num_rows($results); // TU WYSTĘPUJE BŁĄD // wyswietlenie iloœci wyszukanych obiektów echo'Znaleziono: '.$obAmount.'<br /><br />'; for($x=0;$x<$obAmount;$x++) { // przekształcenie danych na tablicę $row=mysql_fetch_assoc($results); // wyœwietlenie numeru identyfikacyjnego echo $x+1; echo '. '; // wyœwietlenie nazwy produktu echo $row['pr_name']; echo'<br />'; } } // zamknięcie połączenia mysqli_close($mysqli); // koniec aplikacji ?> [PHP] pobierz, plaintext Błąd ten sam Następnie zamiast zmiennych próbowałem dać zmienne $post_('wartość') - również nici. Następnie umieściłem wszystko w jednym pliku 'index.php' błąd dalej się powtarzał. Zastanawiałem się nad rozwiązaniem pobrania całych tabel i rozwiazania tego na zasdzie: if (empty('AA')) { if (empty('AB')) i tak dalej... else { sprawdzenie pozostałych zmiennych $zmienna_tablicy_mieszkaniac5 = $zmienna_tablicy_mieszkaniac5 - wszystkie pozycje, gdzie 'price' < wartości podanej w 'AA', ale szczerze przyznam, że po pierwsze wydaje mi się to strasznie pracochłonne, a po drugie nie wiem jak zmienić zawartość tej zmiennej... Za szybką pomoc dziękuję. Na pytania chętnie odpowiem, choć mam nadzieję, że dość obrazowo opisałem problem... Edit: Zmiana quote na CODEBOX Ten post edytował Gallar 9.03.2009, 10:43:36 -------------------- Jestem Misiem o Bardzo Małym Rozumku i długie słowa sprawiają mi wielką trudność. Alan Alexander Milne

Start new topic

Odpowiedzi (1 - 8)

Mephistofeles Zobacz profil	9.03.2009, 11:08:32 Post #2
Grupa: Zarejestrowani Postów: 1 182 Pomógł: 115 Dołączył: 4.03.2009 Skąd: Myszków Ostrzeżenie: (0%)	Po co 2 bazy? Wystarczyłyby 2 tabele, chyba, że o to ci chodzi, ale i tak to za dużo. Lepiej dać kolumnę "rodzaj" ENUM ('c5', 'c6'). Twój kod jest lekko mówiąc nieczytelny, postarałbyś się o jakieś wcięcia... No i totalnie niezabezpieczony skrypt. SQL Injection rozwali ci tę wyszukiwarkę w parę chwil. I totalnie nieoptymalny. Po co usuwasz białe znaki z POSTa, a potem przepisujesz go do zmiennych? Lepiej od razu przepisać, choć to i tak zły pomysł. Masz możliwość użycia PDO? I jeszcze jedno, co to '{$EA}' jest? Nie powinno być bez {}? Ten post edytował Mephistofeles 9.03.2009, 11:13:03

phpion Zobacz profil	9.03.2009, 11:27:25 Post #3
Grupa: Moderatorzy Postów: 6 072 Pomógł: 861 Dołączył: 10.12.2003 Skąd: Dąbrowa Górnicza	Może problemem jest stosowanie $_post zamiast $_POST?

Gallar Zobacz profil	9.03.2009, 13:32:42 Post #4
Grupa: Zarejestrowani Postów: 4 Pomógł: 0 Dołączył: 9.03.2009 Ostrzeżenie: (0%)	Zmiana zmiennej z małej na wielką nic nie dało. Próbowałem też metodą $_GET również nic... Co do pierwszego pana, to za uwagę dziękuję, ale w takim razie może jakieś rady - bo krytyka była niekonstruktywna... Wiem, że tam powinno być bez { } dlatego też zmieniłem. Proszę o pilną pomoc, bo ta wyszukiwarka była na sobotę -------------------- Jestem Misiem o Bardzo Małym Rozumku i długie słowa sprawiają mi wielką trudność. Alan Alexander Milne

erix Zobacz profil	9.03.2009, 16:59:43 Post #5
Grupa: Moderatorzy Postów: 15 467 Pomógł: 1451 Dołączył: 25.04.2005 Skąd: Szczebrzeszyn/Rzeszów	Cytat No i totalnie niezabezpieczony skrypt. SQL Injection rozwali ci tę wyszukiwarkę w parę chwil. I totalnie nieoptymalny. Po co usuwasz białe znaki z POSTa, a potem przepisujesz go do zmiennych? To nie jest konstruktywne? Ewidentne dowody na braki w Twoim algorytmie. [PHP] pobierz, plaintext <?php $obAmount=mysql_num_rows($results); // TU WYSTĘPUJE BŁĄD ?> [PHP] pobierz, plaintext Ok, błąd. Ale jaki? Cytat Proszę o pilną pomoc, bo ta wyszukiwarka była na sobotę To jest Twój problem, że miała być na sobotę. Na gotowca nie licz. -------------------- ZCE :: Pisząc PW załączaj LINK DO TEMATU i TYLKO w sprawach moderacji :: jakiś błąd - a TREŚĆ BŁĘDU? :: nie ponaglaj z odpowiedzią via PW!

Gallar Zobacz profil	10.03.2009, 10:49:20 Post #6
Grupa: Zarejestrowani Postów: 4 Pomógł: 0 Dołączył: 9.03.2009 Ostrzeżenie: (0%)	Konstruktywna, to taka, która nie tylko błędy wytyka, ale przynajmniej stara się nakierować jak te błędy naprawić. Gotowca nie oczekuję, napisałbym wówczas w innym dziale. Miała być na sobotę, ale jak będzie na jutro, to jakoś przeżyję :-) Ale nie o taką dyskusję przecie tu chodzi. Chodzi o to, że nie jestem w stanie rozwiązać opisanego przeze mnie problemu, jeśli natomiast nauczę się czegoś nowego, to będę się tylko cieszył. Dlatego nawet nie gotowe rozwiązania, a coś co pomoże mi problem zrozumieć, dzięki czemu rozwiązać będzie równie pomocne. Koniec już mojego mądrzenia się, w końcu to ja potrzebuję pomocy Błąd: Cytat ERRNO: 2 TEKST: mysql_num_rows(): supplied argument is not a valid MySQL result resource LOKALIZACJA: /home/euroland/ftp/index/wysz4/grid.php, linia 40 EDIT: TAk, chodziło o dwie tabele... Ten post edytował Gallar 10.03.2009, 11:17:29 -------------------- Jestem Misiem o Bardzo Małym Rozumku i długie słowa sprawiają mi wielką trudność. Alan Alexander Milne

erix Zobacz profil	10.03.2009, 15:02:46 Post #7
Grupa: Moderatorzy Postów: 15 467 Pomógł: 1451 Dołączył: 25.04.2005 Skąd: Szczebrzeszyn/Rzeszów	Cytat Konstruktywna, to taka, która nie tylko błędy wytyka, ale przynajmniej stara się nakierować jak te błędy naprawić. Przecież nakierowałem. Poza tym, jeśli cały kod jest do przepisania, to więcej czasu zejdzie na jego naprawę, niż napisanie od nowa. Cytat Błąd: Masz coś nie tak z zapytaniem; wyświetl je sobie i debuguj w konsoli MySQL. -------------------- ZCE :: Pisząc PW załączaj LINK DO TEMATU i TYLKO w sprawach moderacji :: jakiś błąd - a TREŚĆ BŁĘDU? :: nie ponaglaj z odpowiedzią via PW!

Mephistofeles Zobacz profil	10.03.2009, 21:04:13 Post #8
Grupa: Zarejestrowani Postów: 1 182 Pomógł: 115 Dołączył: 4.03.2009 Skąd: Myszków Ostrzeżenie: (0%)	Rady? Filtruj POSTa (mysql_real_escape_string itd.), a dane trimuj od razu do zmiennych, ominiesz 9 linijek kodu .

Gallar Zobacz profil	12.03.2009, 19:11:46 Post #9
Grupa: Zarejestrowani Postów: 4 Pomógł: 0 Dołączył: 9.03.2009 Ostrzeżenie: (0%)	Cytat(Mephistofeles @ 10.03.2009, 21:04:13 ) Rady? Filtruj POSTa (mysql_real_escape_string itd.), a dane trimuj od razu do zmiennych, ominiesz 9 linijek kodu . Dziękuję. Wpisałem w konsoli zapytanie z wpisanymi na "sztywno" danymi i wszystko jest ok, wywaliło mi to, co wywalić powinnoc... Nie wiem co dalej. Mówicie, aby to napisać jeszcze raz. Może jeszcze jakieś rady, bym nie kręcił się w kółko ? -------------------- Jestem Misiem o Bardzo Małym Rozumku i długie słowa sprawiają mi wielką trudność. Alan Alexander Milne

« Następny starszy · MySQL · Następny nowszy »

Reply to this topic

Start new topic

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Wersja Lo-Fi

Aktualny czas: 14.08.2025 - 09:19

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn