[HTML][MySQL][PHP]validacja radio buttonów Opcje

[michalww]

Witam,
mam formularz w html z radio buttonami. Wartości tych radio buttonów wysyłam do bazy danych w mysql. Nie chciałbym żeby mi ktoś podmienił wartości z radio buttonów albo skasował bazę przez jakiś sql injection więc pytanie jak zwalidować te wartości w php żeby nie było możliwości ich podmiany? Kod który mam wklejam poniżej.

[PHP] pobierz, plaintext 
<?php
$host = "localhost";
$db_user = "root";
$db_password = "";
$db_name = "odpowiedzi";
$radioPyt1 = $_POST['radioPyt1'];
$radioPyt2 = $_POST['radioPyt2'];
$radioPyt3 = $_POST['radioPyt3']; 
 
$polaczenie = new mysqli($host,$db_user,$db_password,$db_name);
 
if ($polaczenie->connect_error)
{        
 echo "Błąd: ".$polaczenie->cennect_errno." Opis".$polaczenie->cennect_error;   
};
 
$sql = "INSERT INTO `odpowiedzi`(`pytanie1`, `pytanie2`, `pytnaie3`) VALUES ('".$radioPyt1."','".$radioPyt2."','".$radioPyt3."')";
 
 
if($polaczenie->query($sql)==TRUE)
{
    header("Location: wynik.php");
    die();
    $polaczenie->close();
 
 
}
else
{
    echo "Coś poszo nie tak, spróbuj ponownie później.";
};
?>
[PHP] pobierz, plaintext 

Ten post edytował michalww 16.03.2016, 13:19:42

[Rysh]

http://php.net/manual/en/mysqli-stmt.bind-param.php

[michalww]

Ok super to jest prawdopodobnie coś czego szukam tylko robię to tą metodą i coś mi nie działa. Wyskakuje mi taki błąd: Warning: mysqli_stmt_bind_param() expects parameter 1 to be mysqli_stmt, string given in C:\xampp\htdocs\projekty\apkilacjaMISKK\logi.php on line 19 Co robię nie tak?

[PHP] pobierz, plaintext 
<?php
$host = "localhost";
$db_user = "root";
$db_password = "";
$db_name = "miskkOdpowiedzi";
$radioPyt1 = $_POST['radioPyt1'];
$radioPyt2 = $_POST['radioPyt2'];
$radioPyt3 = $_POST['radioPyt3']; 
 
$polaczenie = /* @ */new mysqli($host,$db_user,$db_password,$db_name);
 
if ($polaczenie->connect_error)
{        
 echo "Błąd: ".$polaczenie->cennect_errno." Opis".$polaczenie->cennect_error;   
};
 
$sql =  "INSERT INTO `odpowiedzi`(`pytanie1`, `pytanie2`, `pytnaie3`) VALUES (?,?,?)";
$stmt = mysqli_prepare($polaczenie, $sql);
mysqli_stmt_bind_param($radioPyt1, $radioPyt2, $radioPyt3);
mysqli_stmt_execute($stmt);
 
 
if($polaczenie->query($sql)==TRUE)
{
    header("Location: wynik.php");
    die();
    $polaczenie->close();
}
else
{
    echo "Coś poszo nie tak, spróbuj ponownie później.";
};
?>
[PHP] pobierz, plaintext 

[viking]

Zobacz w dokumentacji jeszcze raz składnię i co oznacza $types.

[michalww]

Ok dobra już wiem co to $type Dzięki za podpowiedź poprawiłem składnie ale dalej są błędy mógłbyś mnie dalej naprowadzić co jest nie tak?

[PHP] pobierz, plaintext 
<?php
$host = "localhost";
$db_user = "root";
$db_password = "";
$db_name = "miskkOdpowiedzi";
$radioPyt1 = $_POST['radioPyt1'];
$radioPyt2 = $_POST['radioPyt2'];
$radioPyt3 = $_POST['radioPyt3']; 
 
$polaczenie = /* @ */new mysqli($host,$db_user,$db_password,$db_name);
 
if ($polaczenie->connect_error)
{        
 echo "Błąd: ".$polaczenie->cennect_errno." Opis".$polaczenie->cennect_error;   
};
 
$sql =  "INSERT INTO `odpowiedzi`(`pytanie1`, `pytanie2`, `pytnaie3`) VALUES (?,?,?)";
$stmt = mysqli_prepare($polaczenie, $sql);
mysqli_stmt_bind_param($stmt,'sss',$radioPyt1,$radioPyt2,$radioPyt3);
mysqli_stmt_execute($stmt);
 
 
if($polaczenie->query($sql)==TRUE)
{
    header("Location: wynik.php");
    die();
    $polaczenie->close();
}
else
{
    echo mysql_errno($polaczenie) . ": " . mysql_error($polaczenie) . "\n";
    echo "Coś poszo nie tak, spróbuj ponownie później.";
};
?>
[PHP] pobierz, plaintext 

[viking]

Jakie konkretnie błędy? To nie tajemnica. Dlaczego mieszasz styl proceduralny z obiektowym? Raz tak, raz tak.

[michalww]

Pomieszałem bo właśnie nie miałem tego mysql_error i mi nie pokazywało żadnego komunikatu błędu. A teraz mi pokazuje błędy z kodem mysql_error więc sobie testuje. komunikaty błędu to:

Notice: Undefined index: radioPyt1 in C:\xampp\htdocs\projekty\logi.php on line 6

Notice: Undefined index: radioPyt2 in C:\xampp\htdocs\projekty\logi.php on line 7

Notice: Undefined index: radioPyt3 in C:\xampp\htdocs\projekty\logi.php on line 8

Warning: mysql_errno() expects parameter 1 to be resource, object given in C:\xampp\htdocs\projekty\logi.php on line 31

Warning: mysql_error() expects parameter 1 to be resource, object given in C:\xampp\htdocs\projekty\logi.php on line 31
: Coś poszo nie tak, spróbuj ponownie później.

[viking]

http://www.php.net/mysqli_errno używasz mysqli (i dobrze)
Nie przesyłasz danych w POST. Musisz się nauczyć czytać błędy.

[michalww]

aaa tak przepraszam te undefined index to ewidentnie moja wina błąd jest ze składnią sql: Błąd: 1064 OpisYou have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near '?, ?, ?)' at line 1 niestety próbuję i próbuję i nie wiem gdzie jest błąd :/

[viking]

Jak dobrze pamiętam to gdzieś już ktoś zwracał uwagę że masz błąd w nazwie kolumny pytanie3

[michalww]

tak ale ten błąd jest też w bazie więc wszystko działało jak były nazwy zmiennych zamiast znaków zapytania