[PDO i Class] zapytanie select z parametrem

[PDO i Class] zapytanie select z parametrem

molik Zobacz profil	4.04.2017, 02:00:49 Post #1
Grupa: Zarejestrowani Postów: 4 Pomógł: 0 Dołączył: 4.04.2017 Ostrzeżenie: (0%)	Na wstępie witam wszystkich bardzo serdecznie! Jestem początkujący jeśli chodzi o obiektówkę, dlatego też proszę o wyrozumiałość... Mój problem polega na zapytaniu select z parametrem... Oczywiście wiem, że nie nie powinno tak wyglądać, ale próbuje już wszystkiego.. Zapytanie SELECT powinno wyglądać tak: [PHP] pobierz, plaintext $sql = 'SELECT * FROM nazwa_tabeli'; $result = $pdo->query(sql); [PHP] pobierz, plaintext Tyle wiem, ale co jeżeli chcę wprowadzić do niej parametr i nie wpisywać go bezpośrednio gdyż istnieje zagrożenie SQL Injection... ale już naprawdę nie mam na to pomysłu.. może Wy mi w tym pomożecie.. Wymyśliłem sobie oto taki zapis (konkretnie chodzi o metodę checkIfIsset()): [PHP] pobierz, plaintext $sql = 'SELECT nrComp FROM 08925902_k1.employers WHERE nrComp = :nrComp'; $s = $pdo->prepare($sql); $s->bindValue(':nrComp', $this->nrComp); $s->execute(); $this->employers = count($s); [PHP] pobierz, plaintext Jak widać nie działa... bardzo Was proszę o pomoc... Oto cały kod klasy: [PHP] pobierz, plaintext <?php class RegisterEmployer{ public $nrComp; public $firstName; public $lastName; public $password; public $employers; public function __construct($nrComp, $firstName, $lastName, $password){ $this->nrComp = $nrComp; $this->firstName = $firstName; $this->lastName = $lastName; $this->password = $password; } public function wypiszDane(){ echo '<p class="bg-info">' .$this->nrComp.'<br>' .$this->firstName.'<br>' .$this->lastName.'<br>' .$this->password. '</p>'; } public function registerEmployer(){ self::checkIfIsset(); if($this->employers > 0){ echo '<p class="bg-warning">Taki numer komputerowy już istnieje w bazie danych.</p>'; exit(); }else{ try { include 'inc/database.php'; $sql = 'INSERT INTO 08925902.employers SET nrComp = :nrComp, firstName = :firstName, lastName = :lastName, password = :password '; $s = $pdo->prepare($sql); $s->bindValue(':nrComp', $this->nrComp); $s->bindValue(':firstName', $this->firstName); $s->bindValue(':lastName', $this->lastName); $s->bindValue(':password', SHA1($this->password)); $s->execute(); } catch (PDOException $e) { echo '<p class="bg-warning">'.$e->getMessage() .'<br>'.$e->getLine().'</p>'; exit(); } echo '<p class="bg-success">Dodano użytkownika do bazy danych.</p>'; } } public function checkIfIsset(){ try { include 'inc/database.php'; $sql = 'SELECT nrComp FROM 08925902.employers WHERE nrComp = :nrComp'; $s = $pdo->prepare($sql); $s->bindValue(':nrComp', $this->nrComp); $s->execute(); $this->employers = count($s); } catch (PDOException $e) { echo '<p class="bg-warning">'.$e->getMessage() .'<br>'.$e->getLine().'</p>'; exit(); } } } ?> [PHP] pobierz, plaintext kod uruchomienia: [PHP] pobierz, plaintext <?php if(isset($_POST['addEmployer'])){ echo '<p class="bg-info">Przejdź do procedury dodawania pracownika.</p>'; $employer = new RegisterEmployer($_POST['nrComp'], $_POST['employerFirstName'], $_POST['employerLastName'], $_POST['employerPass']); $employer->registerEmployer(); }else{ include 'sites/form_registerEmployer.php'; exit(); } ?> [PHP] pobierz, plaintext Ten post edytował molik 4.04.2017, 02:03:33

Odpowiedzi

nospor Zobacz profil	4.04.2017, 13:19:45 Post #2
Grupa: Moderatorzy Postów: 36 559 Pomógł: 6315 Dołączył: 27.12.2004	Nigdzie nie odbierasz wynikow SELECT.... viking juz ci napisal co masz zrobic

molik Zobacz profil	4.04.2017, 13:24:16 Post #3
Grupa: Zarejestrowani Postów: 4 Pomógł: 0 Dołączył: 4.04.2017 Ostrzeżenie: (0%)	Cytat(nospor @ 4.04.2017, 14:19:45 ) Nigdzie nie odbierasz wynikow SELECT.... viking juz ci napisal co masz zrobic Widzę, widzę, ale po kolei odpisuje na posty. Koledzy, ale dalej nie wiem, czy taki zapis jeśli chodzi o parametr i późnieje preparowanie.. Po prostu jak dokonać zapisu zapytanie do mysql jeśli w zapytaniu chcemy umieścić zmienną członkowską, ale w taki sposób aby nie narazić się na sql injection? Czy można to zrobić w taki sposób jak poniżej? Jeśli nie to napiszcie mi jak to zrobić./ [PHP] pobierz, plaintext $sql = 'SELECT nrComp FROM 08925902.employers WHERE nrComp = :nrComp'; $s = $pdo->prepare($sql); $s->bindValue(':nrComp', $this->nrComp); $s->execute(); [PHP] pobierz, plaintext Ten post edytował molik 4.04.2017, 13:31:06

Posty w temacie

molik [PDO i Class] zapytanie select z parametrem 4.04.2017, 02:00:49

Tomplus Ty łączysz się z bazą danych za każdym razem wywoł... 4.04.2017, 06:51:49

molik Cytat(Tomplus @ 4.04.2017, 07:51:49 )... 4.04.2017, 13:16:42

viking Jak już to count($s->fetchAll()) chociaż l... 4.04.2017, 06:55:05

nospor Nigdzie nie odbierasz wynikow SELECT.... viking ju... 4.04.2017, 13:19:45

molik Cytat(nospor @ 4.04.2017, 14:19:45 ) ... 4.04.2017, 13:24:16

nospor Sposob przypisania zmiennej jest poprawny. Skad po... 4.04.2017, 13:44:16

viking Kod wyżej jest ok. Jedyne co to można by przekazać... 4.04.2017, 13:47:04

« Następny starszy · PHP · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Forum PHP.pl