Forum PHP.pl

Forum PHP.pl > Forum > Przedszkole

Reply to this topic

Start new topic

[PHP][PDO] Zabezpieczanie zapytań

Kerth Zobacz profil	1.07.2014, 18:22:55 Post #1
Grupa: Zarejestrowani Postów: 250 Pomógł: 1 Dołączył: 6.08.2012 Ostrzeżenie: (0%)	Witajcie Podobno, każde zapytania powinno się zabezpieczać za pomocą bindparam() czy jakoś tak. Może mi podać ktoś przykład takiego zapytania? Np na moim kodzie: [PHP] pobierz, plaintext $register_zadania = $db->exec("INSERT INTO `zadania` (`nick`, `ip`, `data`, `nazwa` ) VALUES ('$nick', '$ip', '$data', '$nazwa' )") or die(mysql_error()); [PHP] pobierz, plaintext

Crozin Zobacz profil	1.07.2014, 18:44:45 Post #2
Grupa: Zarejestrowani Postów: 6 476 Pomógł: 1306 Dołączył: 6.08.2006 Skąd: Kraków Ostrzeżenie: (0%)	Wiesz, że dane należy podpinać przez bindValue/bindParam, więc dlaczego nie sprawdzisz bezpośrednio w dokumentacji: http://www.php.net/manual/en/pdostatement.bindvalue.php

Kerth Zobacz profil	1.07.2014, 18:58:24 Post #3
Grupa: Zarejestrowani Postów: 250 Pomógł: 1 Dołączył: 6.08.2012 Ostrzeżenie: (0%)	[PHP] pobierz, plaintext $register = $db->exec("INSERT INTO `gracze` (`nick`, `ip`, `email`, `haslo`, `haslo2`, `data`, `nazwa` ) VALUES (?,?,?,?,?,?,?)") or die(mysql_error()); $register->bindValue(1, $nick, PDO::PARAM_STR); $register->bindValue(2, $ip, PDO::PARAM_INT); $register->bindValue(3, $email, PDO::PARAM_STR); $register->bindValue(4, $haslo, PDO::PARAM_STR); $register->bindValue(5, $haslo2, PDO::PARAM_STR); $register->bindValue(6, $data, PDO::PARAM_INT); $register->bindValue(7, $nazwa, PDO::PARAM_STR); [PHP] pobierz, plaintext Skorzystałem z innego zapytania. Może mi ktoś powiedzieć co jest nie tak? Bo niestety nie działa mi ten kod.

Turson Zobacz profil	1.07.2014, 19:00:31 Post #4
Grupa: Zarejestrowani Postów: 4 291 Pomógł: 829 Dołączył: 14.02.2009 Skąd: łódź Ostrzeżenie: (0%)	Spójrz jeszcze raz na przykład w manualu i porównaj ze swoim...

PawelC Zobacz profil	1.07.2014, 19:08:13 Post #5
Grupa: Zarejestrowani Postów: 1 173 Pomógł: 121 Dołączył: 24.09.2007 Skąd: Toruń Ostrzeżenie: (0%)	[PHP] pobierz, plaintext $result = $this->db->prepare("insert into category values(NULL, :name)"); $result->bindParam(':name', $name, PDO::PARAM_STR); [PHP] pobierz, plaintext U mnie np tak to wygląda W manualu masz bardzo dobre przykłady co i jak zrobić To co zrobiłeś to masło maślane.

Kerth Zobacz profil	1.07.2014, 19:17:48 Post #6
Grupa: Zarejestrowani Postów: 250 Pomógł: 1 Dołączył: 6.08.2012 Ostrzeżenie: (0%)	Mam teraz tak: [PHP] pobierz, plaintext $register = $db->prepare("INSERT INTO `gracze` (`nick`, `ip`, `email`, `haslo`, `haslo2`, `data`, `nazwa` ) VALUES(nick, :ip, :email, :haslo, :haslo2, :data, :nazwa )") or die(mysql_error()); $register->bindValue(":nick", $nick, PDO::PARAM_STR); $register->bindValue(":ip", $ip, PDO::PARAM_STR); $register->bindValue(":email", $email, PDO::PARAM_STR); $register->bindValue(":haslo", $haslo, PDO::PARAM_STR); $register->bindValue(":haslo2", $haslo2, PDO::PARAM_STR); $register->bindValue(":data", $data, PDO::PARAM_INT); $register->bindValue(":nazwa", $nazwa, PDO::PARAM_STR); $register->execute(); [PHP] pobierz, plaintext Powoduje to: [PHP] pobierz, plaintext Warning: PDOStatement::execute(): SQLSTATE[HY093]: Invalid parameter number: number of bound variables does not match number of tokens in C:\WebServ\httpd\strona4\register.php on line 205 [PHP] pobierz, plaintext Korzystam z tego: http://turson.pl/blog/php-mysql-prosty-skr...do/#comment-766 Oraz możecie mi powiedzieć czy dobrze przepisałem 3 argument bindValue dla każdego z pól? Czy data ma mieć PDO::PARAM_INT itd?

PawelC Zobacz profil	1.07.2014, 19:20:34 Post #7
Grupa: Zarejestrowani Postów: 1 173 Pomógł: 121 Dołączył: 24.09.2007 Skąd: Toruń Ostrzeżenie: (0%)	[PHP] pobierz, plaintext VALUES(nick, [PHP] pobierz, plaintext Błąd Do podglądu zobacz w pełni działajacy kod: [PHP] pobierz, plaintext public function add($name) { $result = $this->db->prepare("insert into category values(NULL, :name)"); $result->bindParam(':name', $name, PDO::PARAM_STR); if(!$result->execute()){ throw new Exeption("Wystąpił błąd podczas dodawania kategorii"); } } [PHP] pobierz, plaintext Ten post edytował ExPlOiT 1.07.2014, 19:22:16

Turson Zobacz profil	1.07.2014, 19:24:22 Post #8
Grupa: Zarejestrowani Postów: 4 291 Pomógł: 829 Dołączył: 14.02.2009 Skąd: łódź Ostrzeżenie: (0%)	Datę jako date/datetime traktuj jako string, dla timestamp to będzie int

Kerth Zobacz profil	1.07.2014, 19:25:00 Post #9
Grupa: Zarejestrowani Postów: 250 Pomógł: 1 Dołączył: 6.08.2012 Ostrzeżenie: (0%)	A to NULL? to jest z pola np. `id` AUTO_INCREMENT?

Turson Zobacz profil	1.07.2014, 19:26:16 Post #10
Grupa: Zarejestrowani Postów: 4 291 Pomógł: 829 Dołączył: 14.02.2009 Skąd: łódź Ostrzeżenie: (0%)	Jeżeli w INSERT gracze(kolumny) nie pomijasz id, to null będzie dla auto increment

Kerth Zobacz profil	1.07.2014, 19:35:41 Post #11
Grupa: Zarejestrowani Postów: 250 Pomógł: 1 Dołączył: 6.08.2012 Ostrzeżenie: (0%)	Aha to rozumiem. A jak jest z zapytaniami typu UPDATE oraz SELECT? UPDATE: [PHP] pobierz, plaintext $kasa_start = 1000; $register_kasa_start = $db->prepare("UPDATE `kasa` FROM `gracze` = :kasa_start WHERE `Nick` = :nick") or die(mysql_error()); $register_kasa_start->bindValue(":nick", $nick, PDO::PARAM_STR); $register_kasa_start->bindValue(":kasa_start", $kasa_start, PDO::PARAM_INT); $register_kasa_start->execute(); [PHP] pobierz, plaintext Czy robi się to tak czy jakoś inaczej? Ten post edytował Kerth 1.07.2014, 19:36:55

PawelC Zobacz profil	1.07.2014, 19:36:27 Post #12
Grupa: Zarejestrowani Postów: 1 173 Pomógł: 121 Dołączył: 24.09.2007 Skąd: Toruń Ostrzeżenie: (0%)	Jeżeli jest update to wpisujesz tylko te kolumny które aktualizujesz + warunek where. Masz złe zapytanie, jest update nazwa tabeli set kolumny, czyli [SQL] pobierz, plaintext UPDATE `gracze` SET `kasa` = :kasa_start WHERE `Nick` = :nick") or die(mysql_error()); [SQL] pobierz, plaintext Ten post edytował ExPlOiT 1.07.2014, 19:37:58

Kerth Zobacz profil	1.07.2014, 19:37:54 Post #13
Grupa: Zarejestrowani Postów: 250 Pomógł: 1 Dołączył: 6.08.2012 Ostrzeżenie: (0%)	Ale gdy chcę tak jak mam powyżej, że chcę dodać po 1000 dla każdego zarejestrowanego?

PawelC Zobacz profil	1.07.2014, 19:39:00 Post #14
Grupa: Zarejestrowani Postów: 1 173 Pomógł: 121 Dołączył: 24.09.2007 Skąd: Toruń Ostrzeżenie: (0%)	Wtedy wpisujesz bez warunku where Czyli: [SQL] pobierz, plaintext UPDATE `gracze` SET `kasa`= :kasa [SQL] pobierz, plaintext

Kerth Zobacz profil	1.07.2014, 19:46:22 Post #15
Grupa: Zarejestrowani Postów: 250 Pomógł: 1 Dołączył: 6.08.2012 Ostrzeżenie: (0%)	Wiem, że może trochę te pytania nudne jak flaki z olejem ale dlaczego to mi nic nie dodaje? [PHP] pobierz, plaintext $kasa_start = 1000; $register_kasa_start = $db->prepare("UPDATE `gracze` SET `kasa`= :kasa_start") or die(mysql_error()); $register_kasa_start->bindValue(":kasa_start", $kasa_start, PDO::PARAM_INT); $register_kasa_start->execute(); [PHP] pobierz, plaintext

PawelC Zobacz profil	1.07.2014, 19:48:53 Post #16
Grupa: Zarejestrowani Postów: 1 173 Pomógł: 121 Dołączył: 24.09.2007 Skąd: Toruń Ostrzeżenie: (0%)	Do wglądu masz kolejny kod, zobacz różnice [PHP] pobierz, plaintext $results=$this->db->prepare("update users set pass=:pass where mail=:mail"); $results->bindParam(":pass", $pass, PDO::PARAM_STR); $results->bindParam(":mail", $mail, PDO::PARAM_STR); if(!$results->execute()){ throw new Exception("Wystąpił błąd podczas resetowania hasła."); } [PHP] pobierz, plaintext Ten post edytował ExPlOiT 1.07.2014, 19:49:29

ZaXaZ Zobacz profil	1.07.2014, 20:04:50 Post #17
Grupa: Zarejestrowani Postów: 285 Pomógł: 18 Dołączył: 30.01.2014 Skąd: <?=$_GET['city']?> Ostrzeżenie: (0%)	Pierwszy raz widzę żeby ktoś robił or die w pdo do tego mieszając z spl ;d, zajrzyj może do wiki tam dość dobrze wytłumaczone pdo... [PHP] pobierz, plaintext $kasa_start = 1000; $register_kasa_start = $db->prepare('UPDATE `gracze` SET `kasa`= :kasa_start'); $register_kasa_start->bindValue(':kasa_start', $kasa_start, PDO::PARAM_INT); $register_kasa_start->execute(); [PHP] pobierz, plaintext poczytaj np. o metodzie errorInfo() w manualu. Ten post edytował ZaXaZ 1.07.2014, 20:19:51 -------------------- Jak poprawnie zadać pytanie \|\| Generator #RRGGBB \|\| Kurs: php, mysql <> html & css \|\| Hosting \|\| Validator: html, css \|\| Narzędzia dla programistów

ber32 Zobacz profil	2.07.2014, 09:44:09 Post #18
Grupa: Zarejestrowani Postów: 332 Pomógł: 22 Dołączył: 6.07.2010 Ostrzeżenie: (0%)	Tu masz link do książki, która opisuje te i inne działania na pdo i jeszcze parę innych żeczy. Książka tania 12,50zł "pdf" polecam. http://ebookpoint.pl/ksiazki/sto-pytan-i-o...00.htm#format/e -------------------- PDO

Turson Zobacz profil	2.07.2014, 09:52:15 Post #19
Grupa: Zarejestrowani Postów: 4 291 Pomógł: 829 Dołączył: 14.02.2009 Skąd: łódź Ostrzeżenie: (0%)	Jest też darmowa "książka" - http://pl.wikibooks.org/wiki/PHP/Biblioteka_PDO Nie wiem jak można by płacić za książkę do PDO, gdzie nawet najbardziej nieogarnięta osoba, która miała doświadczenie z mysql_ ogarnie to do godziny Ten post edytował Turson 2.07.2014, 09:55:16

ber32 Zobacz profil	2.07.2014, 10:05:26 Post #20
Grupa: Zarejestrowani Postów: 332 Pomógł: 22 Dołączył: 6.07.2010 Ostrzeżenie: (0%)	Turson sprawdź o której Kerth napisał pierwszego posta, a o której jeszcze pytał dalej, to trochę więcej jak godzina i przypuszczam że już wcześniej miał doczynienia z mysql_ -------------------- PDO

« Następny starszy · Przedszkole · Następny nowszy »

Reply to this topic

Start new topic

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Wersja Lo-Fi

Aktualny czas: 28.04.2024 - 10:20

Powered By IP.Board © 2024 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn