[MySQL][PHP]Problem z pobraniem zmiennej GET, wywala błąd Opcje

[hyhyhy]

Witam,

Na początku chciałem zaznaczyć, że jestem początkujący.
Napisałem prostą wyszukiwarkę, przy czym pobiera ona metodą GET oprócz szukanej frazy, jeszcze 3 parametry:
- od i do -> wstawiam w zapytanie LIMIT $od, $do
- show -> w zaleznosci od wartosci szuka w jednej z dwóch tabel

Poniżej wrzucę kod, a teraz moje pytanie:
Jak zrobić, żeby plik search.php (mój sposób nie działa) dobierał sobie te parametry, powiedzmy, że mogę zrobić link z formularza, ale wejdzie jakiś "chaker" i zacznie wpisywać głupoty w URL, a mysql będzie sypał błędami (chyba że to nieszkodzi, bo i tak zobaczy "nie ma wyników do wyświetlenia")

z formu przechodzi normalnie, tylko wystarczy, żeby ktoś dwukrotnie kliknął "szukaj" i się sypie.
Za to jak wpisze ręcznie URL to wszystko jest git, więc chodzi na pewno o to.

[PHP] pobierz, plaintext 
<?php
 
$show = (int)$_GET["show"];
if (empty($show)) {$show = rand(1,2);}
else {
if ($show == 1) {$tablica = "pierwsza";}
else {$tablica = "druga";}
}
$phrase = trim(strip_tags(htmlspecialchars(mysql_real_escape_string($_GET["phrase"]))));
 
 
$od = (int)$_GET["od"];
$do = (int)$_GET["do"];
if (!isset($od)){$od = 0;}
if (!isset($do)) {$do = 30;}  //tu juz probowalem na wszelkie sposoby,
if (empty($od)) {$od = 0;}   
if (empty($do)){$do = 30;}  
 
[PHP] pobierz, plaintext 

[wNogachSpisz]

Jest całkiem sporo błędów logicznych w Twoim kodzie..

[PHP] pobierz, plaintext 
$od = (int)$_GET["od"];
if (!isset($od)){$od = 0;}
[PHP] pobierz, plaintext 

To nie ma sensu, isset() nigdy nie zwróci false, ponieważ kod "$od = (int)$_GET["od"];"
zadeklaruje zmienną $od...
Napisałeś to prawie dobrze, jednak powinno być:

[PHP] pobierz, plaintext 
$od = isset($_GET["od"]) ? (int)$_GET["od"] : 0;
[PHP] pobierz, plaintext 

Lub jeśli nie kumasz jeszcze takich konstrukcji, nieco dłuższy w zapisie ekwiwalent:

[PHP] pobierz, plaintext 
if ( isset($_GET["od"])) {
  $od = (int)$_GET["od"]
}
else {
  $od = 0;
}
[PHP] pobierz, plaintext 

------------------------------------------

[PHP] pobierz, plaintext 
$phrase = trim(strip_tags(htmlspecialchars(mysql_real_escape_string($_GET["phrase"]))));
[PHP] pobierz, plaintext 

Popiepszyłeś troche kolejność...

mysql_real_escape_string()
Dawaj zawsze na końcu (z lewej strony), manipulowanie przy stringu pociągniętym już tą funkcją przed dopisaniem do zapytania SQL to proszenie się o problemy.

strip_tags(htmlspecialchars(
Zdecyduj się na coś... strip_tags() będzie miał dokładnie NIC do roboty kiedy dasz mu string wcześniej potraktowany przez htmlspecialchars()

W zależności co chciałeś uzyskać, ja bym to zrobił tak:

[PHP] pobierz, plaintext 
$phrase = mysql_real_escape_string(htmlspecialchars(trim($_GET["phrase"])));
[PHP] pobierz, plaintext 

Ten post edytował wNogachSpisz 25.02.2011, 20:10:44