Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP][MYSQL] Zmiennie w zapytaniu SQL
--mobo--
post
Post #1





Goście







Oto fragment kodu z mojego scryptu

  1. <?php
  2. if (!empty($_POST['wiadomosc']) && !empty($_POST['user_login']) ) {
  3. $login=$_POST['user_login'];
  4. $wiad=$_POST['wiadomosc'];
  5. $pytanie = "INSERT INTO `users` ( user_id , user_login , wiadomosc ) VALUES 
  6. (NULL , '$login', '$wiad')";
  7. ?>


I mój problem polegał na tym że jak chciałem bezpośrednio w zapytanie sql wstawić te dwie zmienne z $_POST to ciągle wywalało mi jakieś błędy składni a gdy utworzyłem sobie najpierw te dwie zmienne pomocnicze $login i $wiad to za ich pomocą już bez problemu wpisuje w SQL. I moje pytanie brzmi jak powinna wyglądać prawidłowa składnia jakbym chciał wstawić bezpośrednio te zmienne $_POST bez zmiennych pomocniczych. Pozdrawiam
Go to the top of the page
+Quote Post
 
Start new topic
Odpowiedzi
Shili
post
Post #2





Grupa: Zarejestrowani
Postów: 1 085
Pomógł: 231
Dołączył: 12.05.2008

Ostrzeżenie: (0%)
-----


Niech Cię ręka boska broni przed wstawianiem otrzymanych zmiennych bezpośrednio do zapytania!
Poszukaj sobie o sql injection - trochę nie to co chciałeś co prawda, ale się przyda.

Nie wiem jak dla innych, dla mnie jest dużo lepiej, jeśli zmienne wyrzucam poza string.

  1. <?php
  2. $pytanie = "INSERT INTO `users` ( user_id , user_login , wiadomosc ) VALUES (NULL , ".$_POST['user_login'].", ".$_POST['wiadomosc'].")";
  3. ?>


Ale jak już pisałam - to coś jest podatne na ataki - osoba która się zna może usunąć Ci całą bazę danych!

@edit
Kurcze, znowu spóźniona (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

Ten post edytował Shili 8.06.2008, 13:17:45
Go to the top of the page
+Quote Post

Posty w temacie


Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Aktualny czas: 13.10.2025 - 10:58