[MySQL][PHP] Wybór z listy rozwijanej, a wpływ na zapytanie do innej tabeli |
[MySQL][PHP] Wybór z listy rozwijanej, a wpływ na zapytanie do innej tabeli |
30.07.2022, 11:52:34
Post
#1
|
|
Grupa: Zarejestrowani Postów: 52 Pomógł: 0 Dołączył: 24.05.2015 Ostrzeżenie: (0%) |
Mam tabelę `ulice`z nazwami ulic (ok 20 pozycji). W PHP stworzyłem kod, który dokonuje wybranie konkretnej ulicy z listy rozwijanej, w której wyświetlają się nazwy ulic z tabeli `ulice` właśnie.
Fragment kodu:
I teraz jak to zrobić, aby wybrana ulica z listy mogła mieć wpływ na zapytanie do innej tabeli. Na przykład:
|
|
|
30.07.2022, 12:35:13
Post
#2
|
|
Grupa: Zarejestrowani Postów: 6 365 Pomógł: 1114 Dołączył: 30.08.2006 Ostrzeżenie: (0%) |
A jak tam klucze wyglądają? Budynek jest przy ulicy więc pewnie w budynki jakieś id_ulicy.
Wstaw w tej liście id_ulicy -> nazwa_ulicy, potem wybrane id podstaw (przez bindowanie parametrów w mysqli aby nie otworzyć się na sql injection) do SELECT * FROM `budynki` WHERE `Ulica_id` = %d -------------------- |
|
|
31.07.2022, 12:08:34
Post
#3
|
|
Grupa: Zarejestrowani Postów: 52 Pomógł: 0 Dołączył: 24.05.2015 Ostrzeżenie: (0%) |
Już dałem sobie radę.
Kod wygląda tak:
I to działa tak jak chcę. Ale wyłożyłem się na zdawałoby się prozaicznej sprawie: działaniu arytmetycznym na zmiennych. Ale na to założę nowy wątek. |
|
|
31.07.2022, 13:32:10
Post
#4
|
|
Grupa: Zarejestrowani Postów: 6 365 Pomógł: 1114 Dołączył: 30.08.2006 Ostrzeżenie: (0%) |
No i tak jak napisałem, jesteś podatny na sql injection...
-------------------- |
|
|
2.08.2022, 11:23:45
Post
#5
|
|
Grupa: Zarejestrowani Postów: 52 Pomógł: 0 Dołączył: 24.05.2015 Ostrzeżenie: (0%) |
|
|
|
2.08.2022, 11:25:48
Post
#6
|
|
Grupa: Moderatorzy Postów: 36 457 Pomógł: 6297 Dołączył: 27.12.2004 |
To ze ktos dzieki tej luce moze wybrac wszystkie dane z twojej bazy, a jak mu sie poszczesci to nawet dobrac sie do serwera.
Tak jak juz ci pisano: uzyj BINDowania -------------------- "Myśl, myśl, myśl..." - Kubuś Puchatek || "Manual, manual, manual..." - Kubuś Programista "Szukaj, szukaj, szukaj..." - Kubuś Odkrywca || "Debuguj, debuguj, debuguj..." - Kubuś Developer |
|
|
2.08.2022, 12:33:21
Post
#7
|
|
Grupa: Zarejestrowani Postów: 52 Pomógł: 0 Dołączył: 24.05.2015 Ostrzeżenie: (0%) |
|
|
|
2.08.2022, 12:57:03
Post
#8
|
|
Grupa: Moderatorzy Postów: 36 457 Pomógł: 6297 Dołączył: 27.12.2004 |
przeczytaj w necie jak sie robi SQL INJECTION, 5 minut czytania, i bedziesz wiedzial. Cala masa przykladow na to jest
-------------------- "Myśl, myśl, myśl..." - Kubuś Puchatek || "Manual, manual, manual..." - Kubuś Programista "Szukaj, szukaj, szukaj..." - Kubuś Odkrywca || "Debuguj, debuguj, debuguj..." - Kubuś Developer |
|
|
2.08.2022, 13:12:29
Post
#9
|
|
Grupa: Zarejestrowani Postów: 52 Pomógł: 0 Dołączył: 24.05.2015 Ostrzeżenie: (0%) |
|
|
|
2.08.2022, 13:15:43
Post
#10
|
|
Grupa: Moderatorzy Postów: 36 457 Pomógł: 6297 Dołączył: 27.12.2004 |
Ale tu nie chodzi o zaden formularz tylko o to, ze wkladasz do zapytania tekst ktory przychodzi od uzytkownika a uzytkownik moze tam wstawic wszystko.
Pierwszy lepszy przyklad z netu https://sekurak.pl/czym-jest-sql-injection/ I tu nie ma znaczenia czy dane ida z URL czy z formularza. Wszystko idzie od uzytkownikia i uzytkownik moze namieszac o hakerze nie wspominajac -------------------- "Myśl, myśl, myśl..." - Kubuś Puchatek || "Manual, manual, manual..." - Kubuś Programista "Szukaj, szukaj, szukaj..." - Kubuś Odkrywca || "Debuguj, debuguj, debuguj..." - Kubuś Developer |
|
|
Wersja Lo-Fi | Aktualny czas: 27.04.2024 - 17:19 |