[MySQL][PHP]Dodawanie rekordów za pomocą formularza Opcje

[Croos22]

Dobry wieczór!

Napisałem sobie takie kodzik który ma za zadanie dodać wpisane dane w formularzu do bazy tylko, że jeśli chodzi o zabezpieczenie przed wysłaniem pustych danych jest ok ale po pierwsze nie chce mi tego dodać a po drugie zawsze wyświetla komunikat o poprawnym dodaniu rekordu. Oto kod:

[PHP] pobierz, plaintext 
<?php
include ('includes/config_includes.php');
?>
 
<form action="index2.php" method="post">
<input type="text" name="imie" value="" /> <br />
<input type="text" name="tresc" value="" /> <br />
<input type="submit" name="submit" value="Dodaj" />
</form>
 
<?php
$data = date(Y:M:D);
if(isset($_POST['submit'])) {
if(empty($_POST['imie'])) {
echo "Wpisz nazwe";
}
if(empty($_POST['tresc'])) {
echo "Wpisz tresc";
}
$zapytanie = ("INSERT INTO `komentarze` (`nr`, `imie`, `tresc`, `data`) VALUES ('', '$imie', '$tresc', '$data') or die('Blad');
if ($zapytanie) echo "Komentarz dodany poprawnie ";
 else echo "Komentarz nie zostal dodany ";
}
?>
[PHP] pobierz, plaintext 

Taka amatorszczyzna, dopiero się uczę...

Ten post edytował Croos22 6.12.2010, 19:50:16

[modern-web]

[PHP] pobierz, plaintext 
<?php
$data = date(Y:M:D);
$imie = mysql_real_escape_string(htmlspecialchars($_POST['imie']));
$tresc = mysql_real_escape_string(htmlspecialchars($_POST['tresc']));
 
if(isset($_POST['submit']))
{
 if(empty($imie OR $tresc))
 {
  echo "Nazwa lub treść są puste";
 }else{
   $zapytanie = mysql_query("INSERT INTO `komentarze` (`nr`, `imie`, `tresc`, `data`) VALUES ('', '$imie', '$tresc', '$data')");
 }
 
 if($zapytanie)
 {
  echo "Komentarz dodany poprawnie ";
 }else{
  echo "Komentarz nie zostal dodany ";
 }
}
?>
 
<?php
include ('includes/config_includes.php');
?>
 
<form action="" method="post">
<input type="text" name="imie" value="" /> <br />
<input type="text" name="tresc" value="" /> <br />
<input type="submit" name="submit" value="Dodaj" />
</form>
[PHP] pobierz, plaintext 

Takie trudne ;0?

Ten post edytował modern-web 6.12.2010, 20:15:04

[ADeM]

[PHP] pobierz, plaintext 
$zapytanie = mysql_query("INSERT INTO `komentarze` (`nr`, `imie`, `tresc`, `data`) VALUES ('', '$imie', '$tresc', '$data')");
[PHP] pobierz, plaintext 

A przed tym filtrowanie otrzymanych danych.

Ten post edytował ADeM 6.12.2010, 20:10:59

[Croos22]

Coś mi się nie zgadza w trzeciej linii:
Parse error: syntax error, unexpected T_LOGICAL_OR, expecting ')' in xx on line 3

[ADeM]

Pokaż obecny kod. Jeśli użyłeś tego od ~modern-web, to zamień:

[PHP] pobierz, plaintext 
 if(empty($imie OR $tresc))
[PHP] pobierz, plaintext 

na:

[PHP] pobierz, plaintext 
 if( empty( $imie ) || empty( $tresc ) )
[PHP] pobierz, plaintext 

W dodatku zanim użyjesz zmiennych z POST, to musisz sprawdzić czy istnieją.

[markonix]

Brakuje

)

przecież Ci to ten błąd mówi.
Zresztą skoro coś pozmieniałeś w kodzie to wklej nową wersje.

[modern-web]

O filtrowanie nie pytał. Niech poczyta.

Taka mała wskazówka:
Jeśli chcesz dodawać cokolwiek do bazy danych musisz sprawdzać otrzymane od użytkownika dane (nie można mu ufać bo nigdy nie wiesz, czy przypadkiem nie jest dzieckiem, które koniecznie chce `h4knąłć` Twoją stronę - popisując się tym samym przed równie inteligentnymi kolegami...).
np.
1. filtrowanie sprawdzające, czy wprowadzone dane nie zawierają fragmentu zapytania SQL (do tego przydaje się mysql_real_escape_string ale pamiętaj, że to nie wystarczy!)
2. zawierają odpowiednie znaki (reguły możesz ustalić samodzielnie)

Jeśli chodzi o bezpieczeństwo, poczytaj o:
- SQL Injection
- XSS Attack (na przyszłość)

Ten post edytował modern-web 6.12.2010, 20:25:30

[Croos22]

Pomału nie od razu Kraków zbudowano a ja nadal borykam się z tym samym problemem :<

Po wejściu na stronę wyrzuca mi że "Komentarz nie zostal dodany "

[markonix]

Czyli już mysql_query zwraca false.

[ADeM]

Dodaj "or die( mysql_error() )" do wykonania zapytania i powiedz co Ci wyświetla.

[Croos22]

No dobra mój błąd przekręciłem nazwę tabeli ale problemu to nie rozwiązało ponieważ po wejściu na stronę dodaje puste rekordy a po wpisaniu nie.

[markonix]

Po wejściu na stronę nie powinno Ci wysyłać samoczynnie formularza (dodawać do bazy).

[ADeM]

Fajnie. A pokażesz kod czy cały czas myślisz, że wywróżymy z kuli co tam masz u siebie?

[Croos22]

O przepraszam myślałem, że mówiłem.

[PHP] pobierz, plaintext 
<?php
include ('includes/config_includes.php');
?>
 
<?php
if(isset($_POST['submit'])){
 if( empty( $nick ) || empty( $tresc ) )
echo "Nazwa lub treść są puste";
}else{
$zapytanie = mysql_query("INSERT INTO `komentarze` (`nr`, `nick`, `tresc`) VALUES ('', '$nick', '$tresc')") or die( mysql_error() ) ;
}
 
if($zapytanie){
echo "Komentarz dodany poprawnie ";
}else{
echo "Komentarz nie zostal dodany ";
}
 
?>
 
<form action="" method="post">
<input type="text" name="nick" value="" /> <br />
<input type="text" name="tresc" value="" /> <br />
<input type="submit" name="submit" value="Dodaj" />
</form>
 
 
[PHP] pobierz, plaintext 

[markonix]

Z jakiego edytora korzystasz?

Teraz masz coś po polskiemu - jeśli wysłano formularz to sprawdzaj czy dane są, albo jeśli nie wysłano to wykonaj zapytanie.

[ADeM]

[PHP] pobierz, plaintext 
<?php
    include ('includes/config_includes.php');
 
    if( isset( $_POST[ 'submit' ] ) ) {
        if( empty( $nick ) || empty( $tresc ) ) {
            echo "Nazwa lub treść są puste";
        }
        else{
            $zapytanie = mysql_query("INSERT INTO `komentarze` (`nr`, `nick`, `tresc`) VALUES ('', '$nick', '$tresc')") or die( mysql_error() ) ;
 
            if( $zapytanie ) {
                echo "Komentarz dodany poprawnie ";
            }
            else{
                echo "Komentarz nie zostal dodany ";
            }
        }
    }
?>
 
<form action="" method="post">
    <input type="text" name="nick" value="" /> <br />
    <input type="text" name="tresc" value="" /> <br />
    <input type="submit" name="submit" value="Dodaj" />
</form>
 
[PHP] pobierz, plaintext 

Poza tym, to filtruj dane.

Ten post edytował ADeM 6.12.2010, 21:10:16

[Croos22]

Notepad++

Korzystając z tego co podał ADeM nie dodaje po wejściu na stronę tylko że nie pozwala na wpisanie czegokolwiek tzn. co bym nie wpisał to i tak to nie jest tekst "Nazwa lub treść są puste".

Ten post edytował Croos22 6.12.2010, 21:12:09

[nospor]

1) podano ci przeciez taki kod:

[PHP] pobierz, plaintext 
$imie = mysql_real_escape_string(htmlspecialchars($_POST['imie']));
$tresc = mysql_real_escape_string(htmlspecialchars($_POST['tresc']));
[PHP] pobierz, plaintext 

ktorego ty nigdzie nie masz! ten kod sluzy do pobrania danych z forma

2) zanim zadasz kolejnego posta, zastosuj sie do podanych tu porad
Temat: Jak poprawnie zada pytanie

edit down:

Powód edycji: [nospor]:

[modern-web]

@nospor - bbcode się kłania