[MYSQL] Problem z unikalnymi danymi Opcje

[pozik]

Mam tabelę pracownicy(jest to jedyna tabela w bazie), w której mam następujące kolumny: imie, nazwisko, wyplata

Potrzebuje zrobić zapytanie, które wypisze unikalne (imię i nazwisko) i dla tych unikalnych danych tylko najwyższą wypłata.

Ma ktoś pomysł jak to zrobić?

Próbowałem w ten sposób: SELECT DISTINCT imie, naziwsko FROM pracownicy
Nie wiem jak dołączyć do tego najwyższą wypłatę.

[ssstrz]

[SQL] pobierz, plaintext 
SELECT DISTINCT imie, nazwisko FROM pracownicy ORDER BY wyplata
[SQL] pobierz, plaintext 

Ten post edytował ssstrz 24.04.2013, 18:57:03

[mortus]

Przy takiej budowie tabeli, jaką opisałeś (swoją drogą całkowicie niepoprawną) powinno zadziałać to

[SQL] pobierz, plaintext 
SELECT `p`.`imie`, `p`.`nazwisko`, MAX(`p`.`wyplata`) `najwieksza_wyplata` FROM `pracownicy` `p` GROUP BY `p`.`imie`, `p`.`nazwisko`
[SQL] pobierz, plaintext 

[Michasko]

[SQL] pobierz, plaintext 
WHERE wyplata = max(wyplata)
[SQL] pobierz, plaintext 

[pozik]

Przy takiej budowie tabeli, jaką opisałeś (swoją drogą całkowicie niepoprawną) powinno zadziałać to

[SQL] pobierz, plaintext 
SELECT `p`.`imie`, `p`.`nazwisko`, MAX(`p`.`wyplata`) `najwieksza_wyplata` FROM `pracownicy` `p` GROUP BY `p`.`imie`, `p`.`nazwisko`
[SQL] pobierz, plaintext 

Zadziałało, dzięki! Dlaczego niepoprawną?

Mam jeszcze jedno pytanie. Teraz chciałbym zliczyć najwyższe wypłaty większe od $getwyplata. Zrobiłem zapytanie:
$query = "SELECT imie, nazwisko, MAX(wyplata) AS 'maxwyplata' FROM pracownicy GROUP BY imie, nazwisko WHERE maxwyplata > $getwyplata";
$result = mysql_query($query);
... i dalej nie wiem...

Jest możliwość wrzucenia jakiegoś globalnego COUNT() tutaj?

Ten post edytował pozik 24.04.2013, 20:06:30

[matiit]

Zamiast WHERE daj HAVING

[pozik]

Pomogłeś! Dziękuję!

Zrobiłem coś takiego:

[PHP] pobierz, plaintext 
(...)
$query = "SELECT imie, nazwisko, MAX(wyplata) AS 'maxwyplata' FROM pracownicy GROUP BY imie, nazwisko HAVING maxwyplata > $getwyplata";
$result = mysql_query($query);
$num = mysql_numrows($result);
 
echo ("$num");
(...)
[PHP] pobierz, plaintext 

Ten post edytował pozik 24.04.2013, 20:32:48

[matiit]

Jest spoko, tylko pamiętaj o SQL injection

[pozik]

Zabezpieczyłem w taki sposób:

$getwyplata = str_replace("<", "", $getwyplata);
$getwyplata = str_replace(">", "", $getwyplata);
$getwyplata = str_replace("!", "", $getwyplata);
$getwyplata = str_replace("/", "", $getwyplata);
$getwyplata = str_replace("\", "", $getwyplata);

Wystarczy?

[matiit]

Nie, bo co jak $getwyplata będzie np. "10; DROP TABLE pracownicy;" ?
Ale fajnie, że kombinujesz i próbujesz.
Polecam Ci po prostu poczytać o SQL injection, jest tego masa na necie.
Ale idziesz w dobrym kierunku, gratuluję

[mmmmmmm]

Wystarczy proste intval()... I o SQL-injection możesz zapomnieć.

[pozik]

Poszukam i poczytam dzięki matiit Dzieki mmmmmmm za pokazanie jak zabezpieczyć przekazywanie wartości Teraz jeszcze poszukam jak skutecznie zabezpieczyć stringa

[matiit]

Kolega wyżej ma rację. Wtrące jeszcze tylko swoje 0.03PLN - lepiej użyć (int) $zmienna niż intval($zmienna) z powodów optymalizacyjnych.
Tutaj "benchmark"
http://hakre.wordpress.com/2010/05/13/php-casting-vs-intval/

[pozik]

Nigdy nie zdawałem sobie sprawy z tego, że włamanie się do bazy może być tak łatwe. Udało mi się przeprowadzić atak na mojej bazie. Teraz już zabezpieczyłem trochę. Pomogliście mi. Co do zabezpieczania stringów, to znalazłem: $imie = mysql_escape_string($imie);

[pmir13]

Skoro już znalazłeś taką funkcję to mam nadzieję, że przeczytałeś do niej manual, gdzie w wielkim czerwonym oknie na samej górze napisane jest, że już w tej chwili wszystkie funkcje z mysql_ są przestarzałe, a w przyszłych wersjach będą w ogóle usunięte.
W zasadzie nie rozumiem dlaczego dyskutujecie na temat jak zabezpieczyć kod typu mysql_ zamiast dyskutować o tym że w ogóle nie należy go stosować. Serio, PDO nie jest takie straszne jak się wydaje, a parametryzowane wywołania zupełnie eliminują problem SQL injection. Wciąż trzeba uważać na XSS jeśli wypluwamy na stronę jakikolwiek html z bazy, ale to i tak duży postęp w stosunku do tego na co trzeba uważać z mysql_.

[pozik]

Nie zwróciłem uwagi na taką informację. Wychodzi na to, że nadal muszę szukać rozwiązania...

[pmir13]

[PHP] pobierz, plaintext 
$dbh = new PDO( ... );
...
$query = "SELECT imie, nazwisko, MAX(wyplata) AS 'maxwyplata' FROM pracownicy GROUP BY imie, nazwisko HAVING maxwyplata > :getwyplata";
$stmt = $dbh->prepare( $query );
$stmt->bindParam( ':getwyplata', $getwyplata, PDO::PARAM_INT );
$stmt->execute();
[PHP] pobierz, plaintext 

[Szymciosek]

Skoro już znalazłeś taką funkcję to mam nadzieję, że przeczytałeś do niej manual, gdzie w wielkim czerwonym oknie na samej górze napisane jest, że już w tej chwili wszystkie funkcje z mysql_ są przestarzałe, a w przyszłych wersjach będą w ogóle usunięte.
W zasadzie nie rozumiem dlaczego dyskutujecie na temat jak zabezpieczyć kod typu mysql_ zamiast dyskutować o tym że w ogóle nie należy go stosować. Serio, PDO nie jest takie straszne jak się wydaje, a parametryzowane wywołania zupełnie eliminują problem SQL injection. Wciąż trzeba uważać na XSS jeśli wypluwamy na stronę jakikolwiek html z bazy, ale to i tak duży postęp w stosunku do tego na co trzeba uważać z mysql_.

Możesz coś więcej powiedzieć o XSS? Jak to ma się do trzymania w bazie kodu html i wyświetlania go np. przy korzystania z klasy View, która pobiera i wyświetla html z bazy?

[pmir13]

W XSS w bardzo dużym skrócie chodzi o to, że jeśli użytkownik ma możliwość wprowadzenia do bazy gdziekolwiek jakiegokolwiek tekstu, z którego potem będzie składany html, to może próbować wstawić coś, co uruchomi javascript, którego źródło może być gdzieś na zewnętrznym serwerze. Przykłady tego, co można próbować wstawić do bazy można znaleźć tutaj: https://www.owasp.org/index.php/XSS_Filter_...ion_Cheat_Sheet.
Jeśli chodzi o widoki to wszystko zależy od tego jak są napisane, każdy przypadek jest inny, na pewno bezpieczny jest tylko taki html z bazy, na który użytkownik odwiedzający stronę nie ma wpływu.

[mmmmmmm]

Sorry, ale większego szajsu niż PDO to dawno nie spotkałem...
Programuję długo (ponad 20 lat) w wielu językach. W PHP jakieś 5-6 lat. Zawsze używałem mysql_ jako najszybsze. Ostatnio próbowałem PDO. Takich problemów, jak z PDO to dawno nie miałem... Każda następna będzie na pewno z użyciem mysqli_
Aby nie być gołosłownym:
1. UPDATE `tabela` SET `pole='wartość' WHERE `id`=1
Brak błędu - zarówno w PDOException, jak i errorInfo().
2. Nie zgłasza błędów w momencie nie dodania rekordów z powodu np. złego triggera.
3. rowCount() nie daje wyników dla SELECT (to akurat jest opisane w dokumentacji) - porażka.

Ten post edytował mmmmmmm 25.04.2013, 07:24:13