Zaoytanie SQL ze zmienna z formularza Opcje

[dawid_p]

Mam takie zapytanie na stronce:

$sql = "SELECT * FROM $kiedy2 WHERE city LIKE $kierunek";

zmienne $kiedy i $kierunek pochodzą z formularza z poprzedniej strony. W przypadku ,gdy nie umieszczam warunku (WHERE city LIKE $kierunek) wszystko jest ok , ale gdy dołączam ten warunek pojawia się komunikat

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource

nawet jak wpisuje recznie city LIKE"Szczecin" wyswietla mi eten sam komunikat. Polaczenie z baza jest ok, w tabeli jest pole city i jego zawartosc tez jest taka jak w zapytaniu,a mimo to ciagle nie dziala.

HELP.

Ten post edytował dawid_p 29.09.2006, 15:55:17

[L_Devil]

zgubiłeś cudzysłowy:

[PHP] pobierz, plaintext 
<?php
$sql = "SELECT * FROM `$kiedy2` WHERE city LIKE '$kierunek'";
?>
[PHP] pobierz, plaintext 

Po drugie, nigdy nie stosuj zapytań do bazy danych z czystymi danymi z forumlarzy... pamiętaj, że haker może wpisać jako $kiedy2 = "users WHERE login='admin';--" i dzięki temu, twoje zapytanie będzie wyglądało tak:

[SQL] pobierz, plaintext 
SELECT * FROM users WHERE login='admin';-- WHERE city LIKE "";
[SQL] pobierz, plaintext 

tak, dwa myślniki to znak komentarza w sql (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Poczytaj o sql insertion/sql injection w dziale o bazach danych żeby wiedzieć, jak się przed tym zabezpieczyć (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

PS> jeżeli to nie pomogło wywołaj

[PHP] pobierz, plaintext 
<?php
echo mysql_error();
?>
[PHP] pobierz, plaintext 

zaraz po zapytaniu i powiedz, co wyświetliło (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Ten post edytował L_Devil 29.09.2006, 16:04:34

[dawid_p]

Dalej to samo

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /forms/oferta.php on line 42

Warning: mysql_free_result(): supplied argument is not a valid MySQL result resource in /forms/oferta.php on line 64

Mój błąd. Teraz jest wszystko wporządku,dzięki za pomoc. Ta choroba mnie dobija i juz ledwo widze na oczy (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[mokry]

Spróbuj tak:

[PHP] pobierz, plaintext 
<?php
$sql = "SELECT * FROM '$kiedy2' WHERE city LIKE '$kierunek'";
?>
[PHP] pobierz, plaintext 

Wczesniej przed zapytaniem proponuje tak:

[PHP] pobierz, plaintext 
<?
$_POST['kiedy2'] = addslashes($kiedy2);  //zabezpiecza przed zmiana zapytania
?>
[PHP] pobierz, plaintext 

To samo ze zmienna kierunek

[dawid_p]

Po pierwsze wpisac nie może , bo to sa pola formularza bez dostępu, które zostały wypełnione danymi jeszcze z wczesniejszego formularza i tak sformatowane,że nawet ja nie widze,ze to formularz(Zablokowany dostęp, brak obramowania,itd...). A w adresie strony nic się nie wyswietla (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Ale dzięki za ostrzeżenie, jakto mówią "Strzeżonego Pan Bóg strzeże"

[mokry]

To nie lepiej jest po prostu wyswietlic dane na stronie w normalny sposob a pola dac w input type="hidden"?

[dawid_p]

też można...