[php]problem z zapytaniami SQL

[php]problem z zapytaniami SQL, problem z cudzysłowiami

$ledziu Zobacz profil	28.12.2007, 21:31:52 Post #1
Grupa: Zarejestrowani Postów: 6 Pomógł: 0 Dołączył: 16.12.2007 Ostrzeżenie: (0%)	Cześć!! Mam taki problem. Otóż mam sobie taki kod (kawałek): [PHP] pobierz, plaintext <?php . . . $pytanie=$_REQUEST["pytanie0"]; $baza=mysql_select_db("$wybor_bazy") or die ('<br>syf nie pozwolił wybrać bazy'); $rezultat=mysql_query("$pytanie") or die("nie wykonano zapytania"); echo "<b>$rezultat</b><br>"; while ($wynik5=mysql_fetch_array($rezultat,MYSQL_ASSOC)) { var_dump($wynik5); echo "<br>"; } . . . ?> [PHP] pobierz, plaintext $pytanie pochodzi z tąd: [HTML] pobierz, plaintext . . . <form method=POST action=<? echo $_SERVER['PHP_SELF'] ?> > <table border=0> <tr><td>logowanie:</td><td>user: <input type=text name=user size=15> password: <input type=text name=password size=15></td></tr> <tr><td></td><td><input type=submit value="loguj"></tr> <tr><td>nazwa bazy:</td><td><input type=text name=nazwa_bazy bazy size=30></td></tr> <tr><td></td><td><input type=submit value="stwórz"> <input type=submit value="usuń"></tr> <tr><td>baza:</td><td><input type=text name=baza0 size=15></td></tr> <tr><td>pytanie:</td><td><input type=text name=pytanie0 size=50x50></td></tr> <tr><td></td><td><input type=submit value="wykonaj kod SQL"></tr> </table> </form> . . . [HTML] pobierz, plaintext wszystko łądnie działa dopóki w pytaniu SQL nie występuje koniecznośc użycia cudzyłowia lub dzyndzli . Przykładowo [SQL] pobierz, plaintext SELECT * FROM klienci; [SQL] pobierz, plaintext hula [SQL] pobierz, plaintext SHOW TABLES; [SQL] pobierz, plaintext hula . Ale jak już wpisze troche mocniejszy kodzik: [SQL] pobierz, plaintext SELECT imie FROM klienci WHERE imie='Ania'; [SQL] pobierz, plaintext to się sypie. plis help

xbigos Zobacz profil	28.12.2007, 21:38:55 Post #2
Grupa: Zarejestrowani Postów: 239 Pomógł: 27 Dołączył: 13.07.2005 Skąd: Jarocin Ostrzeżenie: (0%)	[SQL] pobierz, plaintext $query = "SELECT `imie` FROM `klienci` WHERE `imie` = `Ania`"; [SQL] pobierz, plaintext Po co dawać zapytanie do bazy pobierz imię z tabeli klientów gdzie imię jest równe ANIA? Ten post edytował xbigos 28.12.2007, 21:40:19 -------------------- Darmowe PornoOstre laseczki

$ledziu Zobacz profil	28.12.2007, 21:55:08 Post #3
Grupa: Zarejestrowani Postów: 6 Pomógł: 0 Dołączył: 16.12.2007 Ostrzeżenie: (0%)	Pytanie nie brzmi poco(to tylko przykład) tylko dlaczego nie działa u mnie bo np w Query browser hula, a chodziło mi oto, iż problem jest z przekazywaniem cudzysłowiów (chyba). Bo jak widać próbowałem zrobić pseudo system zarządzania bazą danych. Wiele pytań SQL wykorzystuje znak ' lub " (zwłaszcza jesli tyczy się STRING ' ów ;D) i chciałem wiedzieć dlaczego w moim kodzie to nie hula??

Hazel Zobacz profil	28.12.2007, 21:56:43 Post #4
Grupa: Zarejestrowani Postów: 492 Pomógł: 33 Dołączył: 16.08.2007 Skąd: Wrocław Ostrzeżenie: (0%)	Zamiast cudzysłowów wpisuj ciąg \" albo \' . I poza tym to jest po prostu sql injection, problem przed którym trzeba się zabezpieczać, a nie tworzyć skrypty podatne na niego. Zakrawa trochę o hacking. --------------------

$ledziu Zobacz profil	28.12.2007, 22:02:34 Post #5
Grupa: Zarejestrowani Postów: 6 Pomógł: 0 Dołączył: 16.12.2007 Ostrzeżenie: (0%)	Dzięki Hazel.... No cóż ćwiczę

« Następny starszy · Przedszkole · Następny nowszy »

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Wersja Lo-Fi

Aktualny czas: 18.04.2024 - 11:54

Hosting zapewnia

Forum PHP.pl