[Php][MySQL] Zapytanie MySQL zależne od formularza Php Opcje

[grzegorzewski]

Witam,

Formularz wysyłający zapytanie ma taką postać (skrótowo:)

[HTML] pobierz, plaintext 
<form name="szuka" method="post" action="wynik.php">
<center><b>IMIĘ</b></center>
<p><input type="radio" name="imie" value="LIKE 'Anna'">Anna<br>
<input type="radio" name="imie" value="LIKE 'Ewa'">Ewa<br>
<input type="radio" name="imie" value="LIKE 'Adam'">Adam<br>
<input type="radio" name="imie" value="NOT LIKE 'Anna', 'Ewa', 'Adam'">Inne<br>
<input type="radio" name="imie" value="*" checked>Wszystkie</p>
<center><b>NAZWISKO</b></center>
<p><input type="radio" name="nazwisko" value="LIKE 'Nowak'">Nowak<br>
<input type="radio" name="nazwisko" value="LIKE 'Kowalski'">Kowalski<br>
<input type="radio" name="nazwisko" value="NOT LIKE 'Nowak', 'Kowalski'">Inne<br>
<input type="radio" name="nazwisko" value="*" checked>Wszystkie</p>
<center><b>ZDOBYTE MEDALE</b></center>
<p><input type="radio" name="medale" value="0">0<br>
<input type="radio" name="medale" value="1 OR 2">1 lub 2<br>
<input type="radio" name="medale" value="3 OR 4 OR 5">3 -5<br>
<input type="radio" name="medale" value="*" checked>Każda ilość</p>
<input type="Submit" name="Submit" value="SZUKAJ">
</form>
[HTML] pobierz, plaintext 

Chciałbym na podstawie przesłanych danych sformułować zapytanie MySQL w postaci (wynik.php):

[PHP] pobierz, plaintext 
<?
mysql_connect("localhost","login","haslo"); 
mysql_select_db("wyniki"); 
$imie=$_POST["imie"];
$nazwisko=$_POST["nazwisko"];
$medale=$_POST["medale"];
$result = mysql_query("SELECT * FROM baza WHERE imie '$imie' AND nazwisko '$nazwisko' AND medale '$medale'");
 
echo "Wyniki:";
while ($r=mysql_fetch_array($result))
{
$imie=$r["imie"];
$nazwisko=$r["nazwisko"];
$medale=$r["medale];
echo "<P>$imie , $nazwisko, $medale</p>"
}
mysql_free_result($result);
?>
[PHP] pobierz, plaintext 

Niestety php zwraca błąd zapytania. Pytanie do Was: czy można w ten sposób sformułować zapytanie MySQL jak w przykładzie(linia 7) - tzn. tak że zapytanie jest "sklejane" z danych przesłanych przez formularz. Mógłbym usunąć z formularza "LIKE, NOT LIKE" itd, ale chciałbym uniknąć dzięki temu warunków php (if, elseif...), gdyż kolumn jest jeszcze kilka i w konsekwencji warunków będzie kilkadziesiąt. Proszę o jakieś w wskazówki dla forumowiczów obytych z tematem
Dziękuję z góry i i pozdrawiam.

[jareeny]

[PHP] pobierz, plaintext 
$result = mysql_query("SELECT * FROM baza WHERE imie '$imie' AND nazwisko '$nazwisko' AND medale '$medale'");
[PHP] pobierz, plaintext 

chyba pozapominałeś o znakach = czyż nie?

[grzegorzewski]

Hmm, nie wiem, nie działa. Chciałbym a by zapytanie miało postać np:

[PHP] pobierz, plaintext 
$result = mysql_query("SELECT * FROM baza WHERE imie NOT LIKE 'Anna', 'Ewa', 'Adam' AND nazwisko LIKE Nowak AND medale *");
[PHP] pobierz, plaintext 

tak aby to formularz przesyłał po zaznaczeniu stosownej opcji całe wyrażenie:

[HTML] pobierz, plaintext 
NOT LIKE 'Anna', 'Ewa', 'Adam'
[HTML] pobierz, plaintext 

lub

[HTML] pobierz, plaintext 
LIKE 'Nowak'
[HTML] pobierz, plaintext 

(A nie tylko 'Anna' czy 'Nowak') i dopiero potem tworzył z tego całe zapytanie. Jak wstawię znaki = to będę miał np.

[PHP] pobierz, plaintext 
$result = mysql_query("SELECT * FROM baza WHERE imie = NOT LIKE 'Anna', 'Ewa', 'Adam' AND nazwisko = LIKE Nowak AND medale =*");
[PHP] pobierz, plaintext 

A takie zapytanie mi nie przejdzie. Nie wiem czy dobrze wyraziłem o co mi chodzi.

[slimy]

A moze cos takiego:

[SQL] pobierz, plaintext 
SELECT * FROM baza 
WHERE imie <> 'Anna' AND imie <> 'Ewa' AND imie <> 'Adam' AND nazwisko = 'Nowak' AND medale = *
[SQL] pobierz, plaintext 

tylko co to ma być ta gwiazdka? wszystkie medale?

[lucaa44]

a moglbys wrzucic tresc bledu ktory wyrzuca Ci mysql?

jezeli nie widac proponuje wykonac samo zapytanie w kliencie mysql.exe z katalogu mysql na localhoscie albo w phpmyadmin.


moim zdaniem powinno byc:

[PHP] pobierz, plaintext 
$result = mysql_query("SELECT * FROM baza WHERE imie = '$imie' AND nazwisko = '$nazwisko' AND medale = '$medale'");
[PHP] pobierz, plaintext 

apropo kolejnego zapytania:

nie ma takiego czegos jak

[PHP] pobierz, plaintext 
WHERE nazwa pola NOT LIKE 'wartosc1', 'wartosc2', 'wartosc3'
[PHP] pobierz, plaintext 

(przynajmniej w mysql5.0)

jak już :

[PHP] pobierz, plaintext 
 $result = mysql_query("SELECT * FROM baza WHERE imie NOT LIKE 'Anna' AND imie NOT LIKE 'Ewa' AND imie NOT LIKE 'Adam' AND nazwisko LIKE Nowak "); 
[PHP] pobierz, plaintext 

Nie wiem o co chodzi w koncowce

[PHP] pobierz, plaintext 
AND medale *
[PHP] pobierz, plaintext 

...


jezeli to nie dziala blad musi byc gdzie indziej a nie z powodu znakow '=', sql musi wiedziec jaka ma byc zaleznosc miedzy wartoscia w polu a podana wartoscia, operator zawsze musi byc (czyli tu '=' albo NOT LIKE)

[nospor]

dales: nazwisko '$nazwisko'
a $nazwisko zawiera LIKE 'Nowak'
czyli w rezultacie otrzymasz
nazwisko 'LIKE 'Nowak''
no przeciez to sieczka a nie zapytanie.

powinno byc
nazwisko $nazwisko

analogicznie reszta.
Na przyszlosc wyswietlaj sobie jak wygląda wygenerowane zapytanie, jaki konkretnie blad dostajesz.
Wszystko masz tutaj:
Temat: Jak poprawnie zada pytanie
jesli bedziesz mial jakis problem, zanim napiszesz, zastosuj sie do podanych tam porad.


Kolejna sprawa, ze takie sqlinjection dajesz hakierowi ze sie w glowie nie miesci

ps:
NOT LIKE 'Anna', 'Ewa', 'Adam'
*
jak ty sobie wyobrazales ze te zapytanie bedzie dzialac?
No chyba bez paru ifow sie nie obejdzie.
Moze to ci cos pomoze
http://nospor.pl/wyszukiwarka-zapytanie-za...runkow-n31.html

[grzegorzewski]

dales: nazwisko '$nazwisko'
a $nazwisko zawiera LIKE 'Nowak'
czyli w rezultacie otrzymasz
nazwisko 'LIKE 'Nowak''
no przeciez to sieczka a nie zapytanie.

No tak, faktycznie bez sensu - źle przekleiłem swój przykład.

Kolejna sprawa, ze takie sqlinjection dajesz hakierowi ze sie w glowie nie miesci

Z tym zagadnieniem dopiero się zapoznaję, mam nadzieję że nie wywróci mi wszystkiego do góry nogami...
Dziękuję wszystkim za pomoc i naprowadzenie.