zmienne php a symbole wieloznaczne w zapytaniu sql, Czy da się w zmiennej php uzytej w SLECT przekazać symbol wieloznaczny Opcje

[DK.log]

Witam.

Z góry proszę o wyrozumiałość bo PHP i SQL zgłębiam aż o 3 dni

Mam następującą bazę:

[SQL] pobierz, plaintext 
CREATE TABLE  tematy (
id_temat INTEGER UNSIGNED NOT NULL AUTO_INCREMENT,
id_przedmiot INTEGER UNSIGNED NULL,
id_wykladowca INTEGER UNSIGNED NULL,
id_wydzial INTEGER UNSIGNED NULL,
temat VARCHAR(500) NULL,
ilosc_wolnych_miejsc INTEGER UNSIGNED NULL,
na_ile_osob INTEGER UNSIGNED NULL,
PRIMARY KEY(id_temat)
)
TYPE=InnoDB;
 
CREATE TABLE pesele (
pesel CHAR(11) NULL
)
TYPE=InnoDB;
 
CREATE TABLE wykladowcy (
id_wykladowca INTEGER UNSIGNED NOT NULL AUTO_INCREMENT,
imie CHAR(50) NULL,
nazwisko CHAR(50) NULL,
id_wydzial INTEGER UNSIGNED NULL,
pesel CHAR(11) NULL,
PRIMARY KEY(id_wykladowca)
)
TYPE=InnoDB;
 
CREATE TABLE wydzialy (
id_wydzial INTEGER UNSIGNED NOT NULL AUTO_INCREMENT,
wydzial CHAR(50)NULL,
PRIMARY KEY(id_wydzial)
)
TYPE=InnoDB;
 
CREATE TABLE przedmioty (
id_przedmiot INTEGER UNSIGNED NOT NULL AUTO_INCREMENT,
przedmiot CHAR(50) NULL,
PRIMARY KEY(id_przedmiot)
)
TYPE=InnoDB;
 
CREATE TABLE zapisy (
id_student INTEGER UNSIGNED NULL,
id_temat INTEGER UNSIGNED NULL
)
TYPE=InnoDB;
 
CREATE TABLE  studenci (
id_student INTEGER UNSIGNED NOT NULL AUTO_INCREMENT,
imie CHAR(50) NULL,
nazwisko CHAR(50) NULL,
id_wydzial INTEGER UNSIGNED NULL,
id_kierunek INTEGER UNSIGNED NULL,
gr_dziek CHAR(8) NULL,
nr_alb CHAR(8) NULL,
PRIMARY KEY(id_student)
)
TYPE=InnoDB;
 
CREATE TABLE kierunki (
id_kierunek INTEGER UNSIGNED NOT NULL AUTO_INCREMENT,
kierunek CHAR(50)NULL,
PRIMARY KEY(id_kierunek)
)
TYPE=InnoDB;
[SQL] pobierz, plaintext 

oraz skrypt php wyświetlający i sortujący dane z tej bazy:

[PHP] pobierz, plaintext 
<?php include ('connection.php'); ?>
<html>
<head>
<link rel="stylesheet" href="style.css" type="text/css"/>
</head>
<body>
<center>
<div class="top">
<form action="index.php" method="post">
<table>
<tr>
<td><center>Nr Tematu:</br></br>
<?php
$sql = mysql_query ("SELECT * FROM tematy") or die ("bład w pytaniu");
print "<select name=numer_tematu><option value=>Wybierz";
while ($tab = mysql_fetch_assoc ($sql)) {
    $id_tem = $tab['id_temat'];
    print "<option value=$id_tem>$id_tem";
}
print "</select>";
?>
</center></td>
 
<td><center>Przedmiot:</br></br>
<?php
$sql = mysql_query ("SELECT * FROM przedmioty ORDER BY przedmiot") or die ("bład w pytaniu");
print "<select name=przedmiot><option value=>Wybierz";
while ($tab = mysql_fetch_assoc ($sql)) {
    $przedmiot = $tab['przedmiot'];
    $id_przedmiot = $tab['przedmiot'];
print "<option value=$id_przedmiot>$przedmiot";
}
print "</select>";
?>
</center></td>
 
<td><center>Wykładowca:</br></br>
<?php
$sql = mysql_query ("SELECT * FROM wykladowcy ORDER BY nazwisko") or die ("bład w pytaniu");
print "<select name=wykladowca><option value=>Wybierz";
while ($tab = mysql_fetch_assoc ($sql)) {
    $w_imie = $tab['imie'];
    $w_nazwisko = $tab['nazwisko'];
    $id_wykladowca = $tab['id_wykladowca'];
print "<option value=$id_wykladowca>$w_nazwisko $w_imie";
}
print "</select>";
?>
</center></td>
 
<td><center>Wydział:</br></br>
<?php
$sql = mysql_query ("SELECT * FROM wydzialy ORDER BY wydzial") or die ("bład w pytaniu");
print "<select name=wydzial><option value=>Wybierz";
while ($tab = mysql_fetch_assoc ($sql)) {
    $wydzial = $tab['wydzial'];
    $id_wydzial = $tab['id_wydzial'];
print "<option value=$id_wydzial>$wydzial";
}
print "</select>";
?>
</center></td>
 
<td><center>Temat:</br></br>
<input type="text" name="fraza">Szukaj frazy w temacie</input>
</center></td>
 
<td><center>Ilość wolnych miejsc</br>
<?php
print "<select name=ilosc><option value=>Wybierz";
$il=1;
while ($il < 6) {
print "<option value=$il>$il";
$il++;
}
print "</select>";
?>
</center></td>
 
<td><center>Na ile osób:</br></br>
<?php
print "<select name=na_ile><option value=>Wybierz";
$il=1;
while ($il < 6) {
print "<option value=$il>$il";
$il++;
}
print "</select>";
?>
</center></td>
 
<td><center>Akcja:</br></br>
<input type="submit" value="Sortuj" />
</center></td>
</tr>
</form>
 
<?php
$compare_nr_tem = $_POST['numer_tematu'];
$compare_przedmiot = $_POST['przedmiot'];
$compare_wykladowca = $_POST['wykladowca'];
$compare_wydzial = $_POST['wydzial'];
$compare_ilosc = $_POST['ilosc'];
$compare_na_ile = $_POST['na_ile'];
$fraza = $_POST['fraza'];
 
$wynik = mysql_query ("SELECT * FROM tematy WHERE ((id_temat LIKE '$compare_nr_tem') AND (id_przedmiot LIKE '$compare_przedmiot') AND (id_wykladowca LIKE '$compare_wykladowca') AND (id_wydzial LIKE '$compare_wydzial') AND (ilosc_wolnych_miejsc LIKE '$compare_ilosc') AND (na_ile_osob LIKE '$compare_na_ile')) AND (temat LIKE \"%$fraza%\") ") or die ("bład w pytaniu");
 
while ($rekord = mysql_fetch_assoc ($wynik)) {
    $id_temat = $rekord['id_temat'];
    
    $id_przedmiot = $rekord['id_przedmiot'];
    $pobierz_nazwe = mysql_query ("SELECT * FROM przedmioty WHERE id_przedmiot='$id_przedmiot'") or die ("blad w pytaniu");
    $wyswietl_nazwe = mysql_fetch_assoc($pobierz_nazwe);
    $przedmiot = $wyswietl_nazwe['przedmiot'];
    
    $id_wykladowca = $rekord['id_wykladowca'];
    $pobierz_nazwe = mysql_query ("SELECT * FROM wykladowcy WHERE id_wykladowca='$id_wykladowca'") or die ("blad w pytaniu");
    $wyswietl_nazwe = mysql_fetch_assoc($pobierz_nazwe);
    $wykladowca_imie = $wyswietl_nazwe['imie'];
    $wykladowca_nazwisko = $wyswietl_nazwe['nazwisko'];
    
    $id_wydzial = $rekord['id_wydzial'];
    $pobierz_nazwe = mysql_query ("SELECT * FROM wydzialy WHERE id_wydzial='$id_wydzial'") or die ("blad w pytaniu");
    $wyswietl_nazwe = mysql_fetch_assoc($pobierz_nazwe);
    $wydzial = $wyswietl_nazwe['wydzial'];
    
    $temat = $rekord['temat'];
    
    $wolne = $rekord['ilosc_wolnych_miejsc'];
    
    $ile = $rekord['na_ile_osob'];
    
    print "<tr><td>$id_temat</td><td>$przedmiot</td><td>$wykladowca_imie<br/>$wykladowca_nazwisko</td><td>$wydzial</td><td>$temat</td><td>$wolne</td><td>$ile</td>";
    if ($wolne != 0) {print "<td><a href=dopiszdo.php?$id_temat>Dopisz sie do tematu nr $id_temat</a></td>";}
    else {print "<td>Temat nr $id_temat jest już zajęty.</td></tr>";}
}
mysql_close($connection);
print "zmienna nr tematu wynosi teraz: $compare_nr_tem";
?>
</table>
</div>
</center>
</body>
</html>
[PHP] pobierz, plaintext 

Problem polega na tym, że zapytanie sql sortujące dane pobiera dane ze zmiennych, które z kolei przekazane są z formularza z list wyboru i pola tekstowego niezależnie od tego czy one tam są czy nie (czy w polu tekstowym jest coś wpisane czy nie oraz czy wybrana jest jakaś pozycja z listy.

Zapytanie sql jest złożone przy użyciu operatorów AND.

Sądziłem, ze w momencie kiedy dla danej kolumny nie będzie wybrana, żadna wartość, a nie ustawie żadnej wartości domyślnej przy <option value=> (a więc zmienna domyślnie pozostaje pusta), zapytanie pobierze wszystkie rekordy, a okazuje się, ze zapytanie szuka pustych pól w danej kolumnie, a przez użycie and, wystarczy jedna pusta zmienna, żeby nie wyświetliło nic.

Moge zmienić domyślną wartość pola formularza (a więc zmiennej przekazanej do selct'a) na dowolną wartość właśnie przy options value, ale czy istnieje jakakolwiek wartość, która posłuży za wzorzec odpowiadający dowolnej wartości??

Krótko mówiąc, jaką wartość należy nadać tej zmiennej, żeby select wybrał każdy rekord??

Jeśli nie istnieje taki symbol to jak inaczej rozwiązać sprawę prawidłowego wyszukiwania danych w powyższym skrypcie??

Może jakiś zaawansowany if??

a może zapytanie powinno być inaczej skonstruowane??

Wiem, że mógłbym użyć symboli wieloznacznych jak w przypadku zmiennej fraza, ale wtedy np. kiedy podam wybiorę cyfrę 1 wyświetli rekordy od id 1, 11-19. i wszystkie zawierające gdziekolwiek jedynkę.

Bardzo proszę o pomoc. Musze oddać działający projekt na zaliczenie przedmiotu za 1,5tyg, a to tylko jego część i utknąłem na teym sortowaniu danych.

Z góry dziękuje.

Czekam...

[dr_bonzo]

Zbuduj sobie cos w postaci:

[PHP] pobierz, plaintext 
<?php
$where = "WHERE ";
...
if ( $_POST['compare_nr_tem'] ) // jak tu bedzie zero lub pusty string to nie doda tego warunku
{
   $where .= " AND id_temat LIKE '" . $_POST['compare_nr_tem'] . "'";
}
 
// itd
?>
[PHP] pobierz, plaintext 

Nie zapomnij o eskejpowaniu danych i sql injection

[DK.log]

Dobry pomysł.

Jak rozumiem składnia $zmienna .= cośtam poprostu dodaje do zmiennej kolejną frazę... czyli wtym wypadku cośtam, tak
[jeśli zmienna miała wartość lubie to to po zabiegu j/w będzie miała wartość lubiecostam]

Tak jak zaznaczyłem na początku od 3 (teraz czterech) dni zajmuje się php i mysql i niestety, ale nie jestem pewien czy wiem co to jest eskejpowanie danych. Znalazłem coś takiego , ale nie wiele rozumiem z tego opisu, a w dodatku tłumaczenie jest troszkę kiepskie. To samo tyczy się sql injection

Chciałem też zapytać dlaczego mam używać

[PHP] pobierz, plaintext 
<?php
if ( $_POST['compare_nr_tem'] )
?>
[PHP] pobierz, plaintext 

skoro w moim skrypcie jest

[PHP] pobierz, plaintext 
<?php
$compare_nr_tem = $_POST['numer_tematu'];
?>
[PHP] pobierz, plaintext 

W takim wypadku chyba powinienem użyć warunku:

[PHP] pobierz, plaintext 
<?php
if ( $compare_nr_tem )
?>
[PHP] pobierz, plaintext 

lub zamiennie:

[PHP] pobierz, plaintext 
<?php
if ($_POST['numer_tematu'])
?>
[PHP] pobierz, plaintext 

Chyba, ze coś źle rozumiem??

No i jeszcze jedno pytanko... Czy po takim zabiegu, jaki opisałeś, zapytanie ma wyglądać np. tak:

[PHP] pobierz, plaintext 
<?php
$wynik = mysql_query ("SELECT * FROM tematy '$where' ") or die ("bład w pytaniu");
?>
[PHP] pobierz, plaintext 

Będę wdzięczny za dalsze podpowiedzi i dziękuje za pomoc.

Ja w akcie desperacji miałem już pisać prawie 30 if'ów, które przewidując wszystkie możliwe kombinacje "pustości" zmiennym lub ich "nie pustości" wywoływałyby konkretne (w pełni opisane) zapytania SQl'a Zupełnie jak rachunek prawdopodobieństwa na piechote

Ten post edytował DK.log 28.05.2009, 23:21:37

[erix]

Jak rozumiem składnia $zmienna .= cośtam poprostu dodaje do zmiennej kolejną frazę... czyli wtym wypadku cośtam, tak

Wszystko jest w manualu, poczytaj.

Chciałem też zapytać dlaczego mam używać

skoro w moim skrypcie jest

To było tylko przykładowo.

No i jeszcze jedno pytanko... Czy po takim zabiegu, jaki opisałeś, zapytanie ma wyglądać np. tak:

Tak jakby. Ale lepiej dmuchać na zimne i przeczytaj przyklejony temat o SQL Injection.

Ja w akcie desperacji miałem już pisać prawie 30 if'ów, które przewidując wszystkie możliwe kombinacje "pustości" zmiennym lub ich "nie pustości" wywoływałyby konkretne (w pełni opisane) zapytania SQl'a

A po co? Pętla + jeden if" title="Zobacz w manualu PHP" target="_manual sprawdzający, czy zmienna jest pusta.

[DK.log]

No dobrze. Poczytałem o eskejpowaniu i o injection...
Tylko, że mi nie chodzi zbytnio o bezpieczeństwo... Nie w tym wypadku. Po pierwsze projekt nigdy nie ujrzy światła dziennego. Po drugie to tylko na zaliczenie przedmiotu.

Pisze po raz kolejny ponieważ zbudowałem coś takiego:

[PHP] pobierz, plaintext 
<?php
$compare_nr_tem = $_POST['numer_tematu'];
$compare_przedmiot = $_POST['przedmiot'];
$compare_wykladowca = $_POST['wykladowca'];
$compare_wydzial = $_POST['wydzial'];
$compare_ilosc = $_POST['ilosc'];
$compare_na_ile = $_POST['na_ile'];
$fraza = $_POST['fraza'];
 
$where = "WHERE (temat LIKE \"%$fraza%\")"; // szukanie frazy wystąpi tak czy siak, nie spowoduje to błędu w pytanie nawet jeśli wszytskie zmienne będa puste
 
if ($compare_nr_tem)
{
  $where .= " AND (id_temat LIKE '$compare_nr_tem')";
}
 
if ($compare_przedmiot)
{
  $where .= " AND (id_przedmiot LIKE '$compare_przedmiot')";
}
 
if ($compare_wykladowca)
{
  $where .= " AND (id_wykladowca LIKE '$compare_wykladowca')";
}
 
if ($compare_wydzial)
{
  $where .= " AND (id_wydzial LIKE '$compare_wydzial')";
}
 
if ($compare_ilosc)
{
    $where .= " AND (ilosc_wolnych_miejsc LIKE '$compare_ilosc')";
}
 
if ($compare_na_ile)
{
  $where .= " AND (na_ile_osob LIKE '$compare_na_ile')";
}
 
print "zmienna where : $where";                    
$wynik = mysql_query ("SELECT * FROM tematy '$where' ") or die ("bład w pytaniu");
?>
[PHP] pobierz, plaintext 

I jedyny z tego efekt przy próbie wyświetlania danych to "błąd w pytaniu"

Sprawdziłem, czy prawidłowo przypisało wszystko do zmiennej $where - jest OK.
Jak wyświetlić zmienną $where widać ładne zapytanie (a właściwie część zapytania) typu
WHERE (id_temat LIKE 'wartość zmiennej') AND (id_przedmiot LIKE 'wartosc zmiennej 2') ... itd

Jeśli wyszstkie zmienne są puste wartość zmiennej $where wygląda tak: WHERE (temat LIKE "%%")

Wygląda na to, ze sama konstrukcja

[PHP] pobierz, plaintext 
<?php
$wynik = mysql_query ("SELECT * FROM tematy '$where' ") or die ("bład w pytaniu");
?>
[PHP] pobierz, plaintext 

jest błedna.

Co zrobiłem nie tak??

Ten post edytował DK.log 29.05.2009, 19:27:16

[Marr]

wiesz co, na prawdę rzuciłem tylko okiem przez przypadek, nie przeczytałem nawet większości Twojego posta, nie mogę teraz, ale obstawiam, że robisz gdzieś błąd związany z rozwijaniem zmiennych. Tam gdzie łączysz stringa ze zmienną php rób tak: $costam = 'tu string, a tu juz'.$zmienna.'a tu znowu string'; Dzięki temu nie będziesz miał problemów. Ogólnie zmienne php ujęte w " " są rozwijane przez parser, a w ' ' traktowane jako string. Możesz łączyć łańcuchy ze zmiennymi dzięki . Może coś pomoże w Twoim problemie.

(.....)

Jeśli wyszstkie zmienne są puste wartość zmiennej $where wygląda tak: WHERE (temat LIKE "%%")

Wygląda na to, ze sama konstrukcja

[PHP] pobierz, plaintext 
<?php
$wynik = mysql_query (&#092;"SELECT * FROM tematy '$where' \") or die (\"bład w pytaniu\");
?>
[PHP] pobierz, plaintext 

jest błedna.

Co zrobiłem nie tak??

Jeszcze raz rzuciłem okiem i faktycznie tu masz błąd. Popraw na tak:

[PHP] pobierz, plaintext 
<?php
$wynik = mysql_query ("SELECT * FROM tematy $where ") or die ("bład w pytaniu");
?>
[PHP] pobierz, plaintext 

oczywiście jeżeli dobrze masz skonstruowaną zmienną $where to będzie działać, a przynajmniej taki mi się wydaje.

[DK.log]

Próbowałem, tak

[PHP] pobierz, plaintext 
<?php
$wynik = mysql_query ("SELECT * FROM tematy $where ") or die ("bład w pytaniu");
?>
[PHP] pobierz, plaintext 

tez nie działało

Poddałem się i zrobiłem if'ami na piechotę

Masakra była jak to pisałem... cieszyłem się tylko, że musiałem robic tylko tyle ifów ile wynosi kombinacja bez powtórzen z 6'ciu, a nie np. z 12'tu

Ale grunt, że działa i mogę ruszyć z miejsca... Jak starczy czasu to poprawie no jakies rozsądniejsze rozwiązanie.

Dzięki wszystkim za pomoc, a poniżej zamieszczam przesłanie dla potomności:
UCZCIE SIĘ DOKŁADNIE A NIE PO ŁEBKACH BO BĘDZIECIE MUSIELI ZAMIAST KILKU LINIJEK PISAĆ COŚ TAKIEGO:

[PHP] pobierz, plaintext 
<?php
if ($compare_nr_tem and $compare_przedmiot and $compare_wykladowca and $compare_wydzial and $compare_ilosc and $comppare_na_ile) {
$wynik = mysql_query ("SELECT * FROM tematy WHERE (id_temat LIKE '$compare_nr_tem') AND (id_przedmiot LIKE '$compare_przedmiot') AND (id_wykladowca LIKE '$compare_wykladowca') AND (id_wydzial LIKE '$compare_wydzial') AND (ilosc_wolnych_miejsc LIKE '$compare_ilosc') AND (na_ile_osob LIKE '$compare_na_ile') AND (temat LIKE \"%$fraza%\") ") or die ("bład w pytaniu");
    } else {
        if ($compare_nr_tem and $compare_przedmiot and $compare_wykladowca and $compare_wydzial and $compare_ilosc and $comppare_na_ile == NULL) {
        $wynik = mysql_query ("SELECT * FROM tematy WHERE (id_temat LIKE '$compare_nr_tem') AND (id_przedmiot LIKE '$compare_przedmiot') AND (id_wykladowca LIKE '$compare_wykladowca') AND (id_wydzial LIKE '$compare_wydzial') AND (ilosc_wolnych_miejsc LIKE '$compare_ilosc') AND (temat LIKE \"%$fraza%\") ") or die ("bład w pytaniu");
        //.......wszystkie się nie zmieszczą, ale łącznie było 26 (czy 27 - trzeba byłoby policzyć klamerki na końcu    ) ifów...
} else {
                                                                                                            if ($compare_nr_tem == NULL  and $compare_przedmiot == NULL and $compare_wykladowca == NULL and $compare_wydzial == NULL and $compare_ilosc and $comppare_na_ile) {
                                                                                                            $wynik = mysql_query ("SELECT * FROM tematy WHERE (ilosc_wolnych_miejsc LIKE '$compare_ilosc') AND (na_ile_osob LIKE '$compare_na_ile') AND (temat LIKE \"%$fraza%\") ") or die ("bład w pytaniu");
                                                                                                            } else {
                                                                                                                if ($compare_nr_tem == NULL and $compare_przedmiot == NULL and $compare_wykladowca == NULL and $compare_wydzial == NULL and $compare_ilosc == NULL and $comppare_na_ile == NULL and $fraza) {
                                                                                                                $wynik = mysql_query ("SELECT * FROM tematy WHERE (temat LIKE \"%$fraza%\") ") or die ("bład w pytaniu");
                                                                                                                } else {
                                                                                                                    if ($compare_nr_tem == NULL and $compare_przedmiot == NULL and $compare_wykladowca == NULL and $compare_wydzial == NULL and $compare_ilosc == NULL and $comppare_na_ile == NULL and $fraza == NULL) {
                                                                                                                    $wynik = mysql_query ("SELECT * FROM tematy ") or die ("bład w pytaniu");
                                                                                                                    }}}}}}}}}}}}}}}}}}}}}}}}}}}}
?>
[PHP] pobierz, plaintext 

Ten post edytował DK.log 29.05.2009, 21:31:52

[erix]

Zgadza się, podlicz gdzieś, ile zapytań leci do bazy, bo jestem ciekaw.

[DK.log]

Zapytań jest tyle ile warunków, a więc 26, ale zapytanie do bazy "leci" jedno. Przecież if wykonuje polecenie jeśli warunek jest spełniony...

Sposób na pewno jest "na około" lub jak kto woli "na piechotę", ale serwer sql nie jest nadwyrężony nadmierną ilością zapytań.

Co ja poradzę, że sposób

[PHP] pobierz, plaintext 
<?php
(&#092;"SELECT * FROM tematy '$where' \")
?>
[PHP] pobierz, plaintext 

nie działał

Ten post edytował DK.log 3.06.2009, 16:46:37