[PHP][MYSQL] dodawanie danych do bazy, co zrobic, aby uzytkownik nie mogl wpisac np: "ciastko"? Opcje

[godzio89]

Ok mam takie skrypty:

nowyprodukt.htm

[HTML] pobierz, plaintext 
<html>
<head>
<title>Dodaj nowy produkt</title>
</head>
<body>
<form action="nowyprodukt.php" method="post">
 
Numer produktu: <input type="text" name="nrproduktu" maxlength="3" size="4"><br /><br />
Nazwa produktu: <input type="text" name="nazwaproduktu" maxlength="30" size="30"><br /><br />
Cena: <input type="text" name="cena" maxlength="5" size="6"><br><br><br>
 
<input type="submit" value="Wstaw do bazy">
</form>
</body>
</html>
[HTML] pobierz, plaintext 

nowyprodukt.php

[PHP] pobierz, plaintext 
<?php
 
$nrproduktu = $_POST['nrproduktu'];
$nazwaproduktu = $_POST['nazwaproduktu'];
$cena = $_POST['cena'];
 
if (!$nrproduktu || !$nazwaproduktu || !$cena)
 
 {
	print "Nie zostały wypełnione wszystkie pola";
	exit;
 }
 
$nrproduktu = addslashes($nrproduktu);  
$nazwaproduktu = addslashes($nazwaproduktu);
$cena = addslashes($cena);
 
@$db = mysql_pconnect("localhost", "root", "");
if (!$db)  
	{  
	print "Nie można nawiązać połączenia z bazą danych";
	exit;
	}
 
mysql_select_db("sklep");
 
$query = "insert into produkty values ('".$nrproduktu."', '".$nazwaproduktu."', '".$cena."')";
$result = mysql_query($query);
 
if ($result)
print "Towar <b>".$nazwaproduktu."</b> został dodany do bazy danych.";
else { print "W bazie istnieje już produkt o tym numerze."; }
 
?>
[PHP] pobierz, plaintext 

baza.php --> tutaj wyswietla sie baza

[PHP] pobierz, plaintext 
<?php
@$db = mysql_connect("localhost", "root", "");
if(!$db)
{
	echo 'Wystapil blad w polaczeniu';
	exit;
}
 
mysql_select_db("sklep");
 
$query ="select * from produkty";
$result = mysql_query($query);
$num_results = mysql_num_rows($result);
 
echo '<p>Ilosc produktow w bazie danych: '.$num_results.'</p>';
for ($i=0; $i<$num_results; $i++) {
	$row = mysql_fetch_array($result);
	echo ($i+1);
	echo stripslashes($row['nazwaproduktu']);
	echo 'cena: ';
	echo stripslashes($row['cena']);
	echo 'zl, nr:';
	echo stripslashes($row['nrproduktu']);
	echo '<br />';
}
?>
[PHP] pobierz, plaintext 

I teraz mam problem. Jak dodaje produkt o nazwie:

Kod

   "ciastka" --> razem z apostrofami!

To wyswietli mi sie w baza.php

CODE

5"ciastko"cena: 9.99zl, nr:5

Da sie jakos zrobic, zeby nie mozna bylo wpisywac takich znakow jak

CODE

"", '', (), itp?

Ten post edytował Ociu 27.07.2008, 09:08:44

Powód edycji: poprawiam bbCode (ociu)

[Inti]

Proponuję w pliku nowyprodukt.php po sprawdzeniu czy konkretne pola zostały wypełnione przeprowadzić kolejny test na zawartość niepożądanych znaków Najlepiej wpierw stwórz sobie tabele niepożadanych znaków, a następnie interesujące cię zmienne przeleć znak po znaku sprawdzając, czy dochodzi do wystąpenia jakiegoś elementu ze zdefiniowanej uprzednio tabelą i w razie potrzeby wykonanać określoną akcję

Pozdrawiam Inti

[godzio89]

No tak, ale jezeli juz mam np tabele zle_znaki:

CODE

Creat table zleznaki(
'nrznaku int unsigned not null auto_increment primary key,
znak char(2) not null);

Jak mam sprawdzic czy np w $tekst sa znaki znajdujace sie w tabeli zleznaki?
np:

CODE

$tekst = " "Ciasto" ";

[Inti]

Nie chodziło mi o tabele w bazie lecz zmienna tabelarczyną

Dobra oto kod jak możesz to w dość naiwny sposób zrobić:

[PHP] pobierz, plaintext 
<?php
$slowo = 'ciastko()z;nierzadanymiznakami';
$wynik = strtr($slowo, '();', '111'); // zameiniasz każdy znak z listy - tutaj ();, na jakąś inną warotść, tutaj dałem 111 - każdemu znakowi przyporządkowujesz jakąś wartość
 
if (strcmp($slowo, $wynik)) // następnie porównujesz słowa, jeśli nie są równe to znaczy, że doszło do podmian
y znaków, czyli wystąpił nieporządany znak
	echo "Słowo zawieta nieporządany znak";
?>
[PHP] pobierz, plaintext 

Mam nadzięję, że to wystarczy

Pozdrawiam Inti

Ten post edytował Inti 27.07.2008, 00:14:19

[godzio89]

hmm a nie da sie tego zrobic tak:

CODE

$nazwaproduktu = $_POST['nazwaproduktu'];

$query = "SELECT * FROM zleznaki";

if($nazwapr = strpos($nazwaproduktu, $query)
{
echo 'W nazwie produktu wpisales niedozwolone znaki!"
exit;
}

Da sie to zrobic tak, ze za pomoca strpos() sprawdzam czy w nazwie produktu wystepuje niedozwolone znaki?

[Inti]

hmm a nie da sie tego zrobic tak:

[PHP] pobierz, plaintext 
<?php
$nazwaproduktu = $_POST['nazwaproduktu'];
 
$query = "SELECT * FROM zleznaki";
 
if(strpos($nazwaproduktu, $query) // zgadza się wystarczy sprawdzić czy znajduję w tekscie danych szukany element, n
ie trzeba jednak tworzyć już dodatkowej zmiennej, no chyba że ta wartość do czego
ś będzie ci jeszcze potrzebna
  {
	echo "W nazwie produktu wpisales niedozwolone znaki!"
	exit;
}
?>
[PHP] pobierz, plaintext 

Da sie to zrobic tak, ze za pomoca strpos() sprawdzam czy w nazwie produktu wystepuje niedozwolone znaki?

Jeśli działa, to czemu by nie Troszku już jest poźno i człowiek czasem szuka rozwiązań na okrętke

Pozdrawiam Inti

PS. Pytanie czy potrzeba jest dodawanie operacji łączenia się z bazą, za każdym sprawdzeniem poprawności słowa

Ten post edytował Inti 27.07.2008, 00:34:29

[godzio89]

Mam taki kod i niestety nie dziala;/Nie sprawdza mi czy wpisze niedozwolone znaki np:

CODE

mleko)

Normalnie wstawia mi takie cos do bazy;/Moze tutaj jest cos zle?

CODE

$query = "select * from zleznaki";
$results = mysql_query($query);
if (strpos($nazwaproduktu, $results))
{
echo 'wpisales niedozwolone znaki w nazwie produktu!';
exit;
}

Caly plik php:

CODE

<?
$nrproduktu = $_POST['nrproduktu'];
$nazwaproduktu = $_POST['nazwaproduktu'];
$cena = $_POST['cena'];

if (!$nrproduktu || !$nazwaproduktu || !$cena)

{
print "Nie zostały wypełnione wszystkie pola";
exit;
}

@$db = mysql_connect("localhost", "root", "");
if (!$db)
{
print "Nie można nawiązać połączenia z bazą danych";
exit;
}

mysql_select_db("sklep");

$query = "select * from zleznaki";
$results = mysql_query($query);
if (strpos($nazwaproduktu, $results))
{
echo 'wpisales niedozwolone znaki w nazwie produktu!';
exit;
}

$nrproduktu = addslashes(htmlspecialchars($nrproduktu));
$nazwaproduktu = addslashes(htmlspecialchars($nazwaproduktu));
$cena = addslashes(htmlspecialchars($cena));



$query = "insert into produkty values ('".$nrproduktu."', '".$nazwaproduktu."', '".$cena."')";
$result = mysql_query($query);

if ($result)
print "Towar <b>".$nazwaproduktu."</b> został dodany do bazy danych.";
else { print "W bazie istnieje już produkt o tym numerze."; }

?>

Ten post edytował godzio89 27.07.2008, 14:17:26

[Victor152]

Spójrz na to rozwiązanie (http://pl2.php.net/manual/pl/function.str-replace.php),

[PHP] pobierz, plaintext 
<?php
 
$nrproduktu = $_POST['nrproduktu'];
$nazwaproduktu = $_POST['nazwaproduktu'];
$cena = $_POST['cena'];
 
if (!$nrproduktu || !$nazwaproduktu || !$cena)
 
 {
	print "Nie zostały wypełnione wszystkie pola";
	exit;
 }
 
$nrproduktu = addslashes($nrproduktu);  
$nazwaproduktu = addslashes($nazwaproduktu);
$szukaj = array('(', ')', '/', '-', ']', '[', '$');
$zastap = array('', '', '', '', '', '', '');
$nazwaproduktu = str_replace($szukaj, $zastap, $nazwaproduktu);
$cena = addslashes($cena);
 
@$db = mysql_pconnect("localhost", "root", "");
if (!$db)  
	{  
	print "Nie można nawiązać połączenia z bazą danych";
	exit;
	}
 
mysql_select_db("sklep");
 
$query = "insert into produkty values ('".$nrproduktu."', '".$nazwaproduktu."', '".$cena."')";
$result = mysql_query($query);
 
if ($result)
print "Towar <b>".$nazwaproduktu."</b> został dodany do bazy danych.";
else { print "W bazie istnieje już produkt o tym numerze."; }
 
?>
[PHP] pobierz, plaintext 

Wprowadziłem taką zmianę:

[PHP] pobierz, plaintext 
<?php
$szukaj = array('(', ')', '/', '-', ']', '[', '$');
 $zastap = array('', '', '', '', '', '', '');
 $nazwaproduktu = str_replace($szukaj, $zastap, $nazwaproduktu);
?>
[PHP] pobierz, plaintext 

Komunikatu nie wyświetla, ale zamienia nie które znaki, oczywiście możesz poszerzyć własną listę.