komórka tabeli jako warunek Opcje

[Dirk]

Witam. Mam jeszcze jeden problem. Jak wstawić pole tabeli jako warunek?

uno to pole tabeli i jeśli ma wartość 1 to zwraca fałsz, jeśli 0 prawdę.

[Crozin]

[SQL] pobierz, plaintext 
uno = 0 -- to prawda
uno = 1 -- to fałsz
[SQL] pobierz, plaintext 

Takich zapisów możesz użyć jako warunek - chyba próbujesz gdzieś, coś przekombinować.

[Dirk]

Takie rozwiązanie mi nie działa. Na priv wyślę Ci o co bardziej szczegółowo chodzi.

[Crozin]

1. To co podałem jest poprawne, być może próbujesz tego źle użyć.
2. Podaj nieco kodu, bo nawet z opisu z prywatnej wiadomości (na przyszłość: spraw związanych z wątkiem nie załatwiaj przez PW) niewiele da się wywnioskować.

[Dirk]

[PHP] pobierz, plaintext 
<?php
$sql_conn = mysql_connect('host', 'nazwa', 'haslo')
or die('Nie mogłem połaczyć się z bazą danych');
 
mysql_select_db('baza');
 
if(uno = 0)
$zapytanie = "UPDATE `users` SET `iq` = `iq` + 1, `uno` = '1'  WHERE `nick`='$_POST[nick]'";
$idzapytania = mysql_query($zapytanie);
echo 'Dodano questa';
else
echo 'Już zrobiłeś tego questa';
 
mysql_close($sql_conn); 
?>
[PHP] pobierz, plaintext 

Ten post edytował Dirk 19.12.2010, 14:49:41

[Crozin]

1. Plecam lekturę Temat: Bezpieczenstwo skryptow PHP a przede wszystkim Temat: SQL Injection Insertion - a co za tym idzie i przejście na PDO.
2. Po prostu pobierz wartość kolumny uno:

[SQL] pobierz, plaintext 
SELECT uno FROM users WHERE nick = ?
[SQL] pobierz, plaintext 

Mając już jej wartość będziesz mógł użyć jej w warunku.

[Dirk]

Mi włamania nie grożą bo u mnie nie można się nawet logować Dzięki

[Crozin]

Co z tego, że nie można się logować? Nadal można (o ile da się uruchomić ten fragment kodu) wywołać niebezpieczne zapytanie SQL.

[Dirk]

Czyli takie rozwiązanie.

[PHP] pobierz, plaintext 
...
$zapytanie = "SELECT `uno` FROM `users` WHERE `nick` = './'$_POST[nick];";
$idzapytania = mysql_query($zapytanie);
 
 
if(uno == 0)
$zapytanie = "UPDATE `users` SET `iq` = `iq` + 1, `uno` = '1'  WHERE `nick`=''./'$_POST[nick]'";
$idzapytania = mysql_query($zapytanie);
echo 'Dodano questa';
...
[PHP] pobierz, plaintext 

Jest lepsze od takiego?

[PHP] pobierz, plaintext 
...
$zapytanie = "SELECT `uno` FROM `users` WHERE `nick` = $_POST[nick];";
$idzapytania = mysql_query($zapytanie);
 
 
if(uno == 0)
$zapytanie = "UPDATE `users` SET `iq` = `iq` + 1, `uno` = '1'  WHERE `nick`='$_POST[nick]';
$idzapytania = mysql_query($zapytanie);
echo 'Dodano questa';
...
[PHP] pobierz, plaintext 

Kolejny problem... Wiem, że dużo ich mam Wczoraj zacząłem zabawę z mysql i php. Wcześniej się bawiłem tylko w HTML i js.

[PHP] pobierz, plaintext 
$zapytanie = "SELECT `uno` FROM `users` WHERE `nick` = $_POST[nick];";
$idzapytania = mysql_query($zapytanie);
 
 
if(uno == 0)
$zapytanie = "UPDATE `users` SET `iq` = `iq` + 1, `uno` = '1'  WHERE `nick`='$_POST[nick]'";
$idzapytania = mysql_query($zapytanie);
echo 'Dodano questa.';
else
echo 'Robiłeś już tego questa!';
[PHP] pobierz, plaintext 

Gdy włączam stronę to pokazuje mi, że jest błąd w linijce w której jest else.

Ten post edytował Dirk 19.12.2010, 15:50:09

[Crozin]

Pod względem bezpieczeństwa każde z tych rozwiązań jest złe:

[PHP] pobierz, plaintext 
// $_POST[nick] = bla bla bla' OR '1' = '1
$zapytanie = "UPDATE `users` SET `iq` = `iq` + 1, `uno` = '1'  WHERE `nick`='$_POST[nick]'";
// Wynik: UPDATE `users` SET `iq` = `iq` + 1, `uno` = '1'  WHERE `nick`='bla bla bla' OR '1' = '1'";
// Efekt? Zapytanie aktualizuje dane wszystkich użytkowników, a nie tylko jednego.
 
$zapytanie = "SELECT `uno` FROM `users` WHERE `nick` = './'$_POST[nick];";
// To zapytanie to w ogóle zawsze będzie błędy powodować:
// SELECT `uno` FROM `users` WHERE `nick` = './'crozin;
 
$zapytanie = "SELECT `uno` FROM `users` WHERE `nick` = $_POST[nick];";
// Tutaj to wartość z POSt[nick] nie zostanie nawet potraktowana jako tekst, a fragment samego zapytania
// Przy przykładowej wartości "Dirk" baza będzie myślała, że robisz porównanie: nick = Dirk, gdzie zarówno nick i Dirk to nazwy kolumn, a nie tekst
[PHP] pobierz, plaintext 

Wszystkie dane powinieneś filtrować:

[PHP] pobierz, plaintext 
$nick = mysql_real_escape_string($_POST['nick']);
$zapytanie = ".... nick = '$nick' ....";
[PHP] pobierz, plaintext 

A tak w ogóle to nie powinieneś w ogóle używać funkcji mysql_*() tylko przykładowo PDO - w manualu przykłady.
A skoro masz jakąś tam styczność z JS, to nie powinieneś mieć problemów z obiektowym interfejsem PDO.


W samym kodzie masz jeszcze dwa błędy:
1. Używasz jakiejś niezdefiniowanej stałej "uno". W PHP zmienne poprzedzone są znakiem dolara, np. $uno, w dodatku Ty nawet nie pobrałeś danych zwróconych przez zapytanie tylko je wywołałeś (w przykładach użycia PDO masz jak pobrać zawartość zwróconą przez zapytanie do zmiennej).
2. Wszystkie konstrukcje językowe typu IF, ELSE, WHILE, FOR itd. odnoszą się wyłącznie do wyrażenia które poprzedzają. Dlatego chcąc wykonać kilka instrukcji grupuje się je w bloki ( { ... } ), czyli:

[PHP] pobierz, plaintext 
if (...) {
  ...
} else {
  ...
}
[PHP] pobierz, plaintext 

[Dirk]

To jak pobrać nazwę kolumny? W odpowiedzi na poprzedni mój temat otrzymałem właśnie

[PHP] pobierz, plaintext 
$zapytanie = "SELECT `uno` FROM `users` WHERE `nick` = $_POST[nick];";
$idzapytania = mysql_query($zapytanie);
[PHP] pobierz, plaintext 

[Crozin]

Masz w manualu przykłady - mysql_query

[Dirk]

Próbuję tymi przykładami to zrobić, ale mi nie wychodzi. Mógłbyś mi to zrobić? Ja bardziej na gotowych przykładach łapię o co chodzi.