Zaoytanie SQL ze zmienna z formularza Opcje

[dawid_p]

Mam takie zapytanie na stronce:

$sql = "SELECT * FROM $kiedy2 WHERE city LIKE $kierunek";

zmienne $kiedy i $kierunek pochodzą z formularza z poprzedniej strony. W przypadku ,gdy nie umieszczam warunku (WHERE city LIKE $kierunek) wszystko jest ok , ale gdy dołączam ten warunek pojawia się komunikat

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource

nawet jak wpisuje recznie city LIKE"Szczecin" wyswietla mi eten sam komunikat. Polaczenie z baza jest ok, w tabeli jest pole city i jego zawartosc tez jest taka jak w zapytaniu,a mimo to ciagle nie dziala.

HELP.

Ten post edytował dawid_p 29.09.2006, 15:55:17

[L_Devil]

zgubiłeś cudzysłowy:

[PHP] pobierz, plaintext 
<?php
$sql = "SELECT * FROM `$kiedy2` WHERE city LIKE '$kierunek'";
?>
[PHP] pobierz, plaintext 

Po drugie, nigdy nie stosuj zapytań do bazy danych z czystymi danymi z forumlarzy... pamiętaj, że haker może wpisać jako $kiedy2 = "users WHERE login='admin';--" i dzięki temu, twoje zapytanie będzie wyglądało tak:

[SQL] pobierz, plaintext 
SELECT * FROM users WHERE login='admin';-- WHERE city LIKE "";
[SQL] pobierz, plaintext 

tak, dwa myślniki to znak komentarza w sql (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Poczytaj o sql insertion/sql injection w dziale o bazach danych żeby wiedzieć, jak się przed tym zabezpieczyć (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

PS> jeżeli to nie pomogło wywołaj

[PHP] pobierz, plaintext 
<?php
echo mysql_error();
?>
[PHP] pobierz, plaintext 

zaraz po zapytaniu i powiedz, co wyświetliło (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Ten post edytował L_Devil 29.09.2006, 16:04:34