Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [MySQL]Łączenie dwóch tabel
JamalBIG
post
Post #1





Grupa: Zarejestrowani
Postów: 496
Pomógł: 1
Dołączył: 16.01.2008
Skąd: Świnoujście

Ostrzeżenie: (0%)
-----

Witam

Mam problem z połączeniem dwóch tabel których budowa przedstawia się następująco:

-- wpisy
id | user_id | tekst |
-----------------------
1 | 2 | xxxx |
2 | 22 | yyyy |

-- users

user_id | znajomy_user_id |
-----------------------
1 | 22 |
2 | 2 |

Chcę wyświetlić dane z tabeli wpisy gdzie user_id = np 2 oraz dane z tabeli wpisy gdzie user_id = znajomy_user_id (pisząc 'słownie' aby wyświetlone zostały dane z tabeli wpisy określonego użytkownika oraz jego znajomych... Stworzyłem poniższą komendę ale nie wyświetla tego czego chce....
[SQL] pobierz, plaintext 
  1. SELECT wpisy.* FROM users, wpisy WHERE users.user_id=2 AND wpisy.user_id=users.znajomy_user_id
[SQL] pobierz, plaintext
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
modern-web
post
Post #2





Grupa: Zarejestrowani
Postów: 763
Pomógł: 117
Dołączył: 15.03.2010
Skąd: void

Ostrzeżenie: (0%)
-----

mysql_real_escape_string zaslashuje wszystkie znaki ' więc nie będzie można wprowadzić łańcuchów bezpośrednio do zapytania.
Za to można bez przeszkód wstawiać liczby i ciągi nie zawierające '.
np.
Dla zapytania typu:
[SQL] pobierz, plaintext 
  1. SELECT * FROM serwis.uzytkownicy WHERE id=$id
[SQL] pobierz, plaintext

Można to obejść (przy zabezpieczeniach) takim sposobem:
w polu id:
[SQL] pobierz, plaintext 
  1. 0 OR 1=1
[SQL] pobierz, plaintext 

[SQL] pobierz, plaintext 
  1. x LIMIT 0 UNION SELECT 1, 2, ..., n FROM information_schema.TABLES
[SQL] pobierz, plaintext

Można używać funkcji concat i char do wprowadzania ciągów do rekordów

Przed XSS także nie chroni w 100%, ponieważ np.
[HTML] pobierz, plaintext 
  1. <script>alert(document.cookie)</script>
[HTML] pobierz, plaintext


Podsumowując: W przypadku PHP jeżeli wiemy, że argument to liczba to stosujemy intval() jeżeli nie to addslashes. Jeżeli mamy coś wyrafinowanego to stosujemy ereg i wyrażenia regularne.
Wniosek: FILTRUJEMY DANE.
Go to the top of the page
+Quote Post

Posty w temacie
- JamalBIG   [MySQL]Łączenie dwóch tabel   22.12.2010, 11:04:17
- - tehaha   wydaję mi się, że coś pomieszałeś z tą logiką Cyta...   22.12.2010, 11:32:20
- - JamalBIG   Twoja propozycja jest interesująca ale w jaki spos...   22.12.2010, 12:57:59
- - tehaha   ciężko podać precyzyjną odpowiedź bo nie wiem co d...   22.12.2010, 13:18:39
- - modern-web   Dodam jeszcze, że dane przekazywane metodą $_...   22.12.2010, 13:25:06
|- - tehaha   Cytat(modern-web @ 22.12.2010, 13:25...   22.12.2010, 13:26:59
- - modern-web   mysql_real_escape_string zaslashuje wszystkie znak...   22.12.2010, 13:38:12
- - tehaha   z Xss się zgodzę, ale zagrożenie przed Xss nie gro...   22.12.2010, 13:45:22
- - JamalBIG   wszystko ładnie wyświetla ale nieraz musi być jaki...   22.12.2010, 13:52:09
- - modern-web   Są i tacy, którzy o ' ' zapominają, a poni...   22.12.2010, 13:53:07
- - tehaha   Cytat(JamalBIG @ 22.12.2010, 13:52:09...   22.12.2010, 14:20:17
- - JamalBIG   tablica była w porządku, zapytanie do bazy danych ...   22.12.2010, 14:31:11
- - modern-web   Cytatno to prawda, są i tacy, którzy w ogóle nie w...   22.12.2010, 14:34:15
- - JamalBIG   dzięki @modern-web - na pewno się przyda, choćby d...   22.12.2010, 14:43:32

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 5.10.2025 - 17:00
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn