Zapytanie do bazy Opcje

[Dukov]

Wszystko już jest na dobrej drodze, problem mam jeszcze z zapytaniem do bazy

[PHP] pobierz, plaintext 
<?php
	$avatar;
	if ($_POST['name'] != null){
		$userName = $_POST['name'];	
	}
	if ($_POST['city'] != null ) {
		$userCity = $_POST['city'];
	}
	if ($_POST['desc'] != null){
		$userDesc = $_POST['desc'];
	}
 
	if ($_POST['login'] != '' && $_POST['pass'] != '' && $_POST['mail'] != '') {
 
 
		if (strlen($_POST['login']) > 3 && strlen($_POST['login']) < 10  && strlen($_POST['pass']) > 5 && strlen($_POST['pass']) < 16  ) {
			if (preg_match('/^[a-zA-Z0-9\.\-_]+\@[a-zA-Z0-9\.\-_]+\.[a-z]{2,4}$/D', $_POST['mail']) && preg_match('/^[a-zA-Z0-9\.\-_]/', $_POST['login']) ) {
 
 
				$userLogin = $_POST['login'];
				$userPass = $_POST['pass'];	
				$userMail = $_POST['mail'];
				$len = 20;
				$userID = substr(sha1(rand(1,10000)),0,$len);
				echo $userID;
				if($_FILES['filename']['name'] != ''){
					$avatar = fileReceive();
				}
				reg();
 			}
 			else
 			{
 				header("Location: ../reg.php?reg=badchars");
 			}	
 		}
 		else
 		{
 			header("Location: ../reg.php?reg=shortpole");
 		}
	}
	else
	{
		header("Location: ../reg.php?reg=emptyf");
	}
	function reg(){
		global $userID, $userMail, $userPass, $userLogin, $userDesc, $userCity, $userName, $avatar;
		try {
 			$host = 'localhost';
			$baza = 'user';
			$uzytkownik = 'adamek';
			$haslo = 'aaaaa5';
 
 
    		$conn = new PDO("mysql:host=$host;dbname=$baza", $uzytkownik, $haslo);
			$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
			$stmt = $conn->prepare("SELECT Nazwa AND mail FROM Users WHERE Nazwa = '$userLogin' OR mail = '$userMail'"); 
			$stmt->execute();
			$row = $stmt->fetch();
			if($row['Nazwa'] == 0 && $row['mail'] == 0){
				$stmt = $conn->exec("INSERT INTO Users ( ID ,  Nazwa , Haslo ,  mail , name ,  city ,  image ,  desci ,  activate ,  admin ) VALUES ('$userID','$userLogin', '$userPass', '$userMail', '$userName', '$userCity, $avatar', '$userDesc', 0 , 0 "); 
 
 				echo "ok";
				#$sendMail();
			}
 
			else{
				header("Location: ../reg.php?reg=userexists");
			}
   		}
   		catch(PDOException $e)
    	{
   	 		echo "duppppp";
    	}
	}
 
 
 
 
	function fileReceive(){
		$max_size = 1024*1024;
	if (is_uploaded_file($_FILES['filename']['tmp_name'])) {
    	if ($_FILES['filename']['size'] > $max_size) {
        	echo 'Błąd! Plik jest za duży!';
    	} 
    	else {
        	echo 'Odebrano plik. Początkowa nazwa: '.$_FILES['filename']['name'];
        	echo '<br/>';
        		if (isset($_FILES['filename']['type'])) {
            		echo 'Typ: '.$_FILES['filename']['type'].'<br/>';
        		}
       	 	$strExt = substr( $_FILES['filename']['name'], strrpos( $_FILES['filename']['name'], '.' ) + 1 );
       	 	echo "Rozszerzenie: ". $strExt;
       	 	$len = 20;
       	 	$randstring =  substr(sha1(rand(1,10000)),0,$len).".jpg";
       	 	echo $randstring;
       	 	echo $_FILES['filename']['name'];
 
        if ($strExt == 'jpg' || 'JPG' || 'jpeg' || 'JPEG'){
        	move_uploaded_file($_FILES['filename']['tmp_name'],
                	$_SERVER['DOCUMENT_ROOT'].'/avatars/'.$_FILES['filename']['name']);
 
        }	
    	else{ 
    		echo "niy!!";}
    }
} else {
   echo 'Błąd przy przesyłaniu danych!';
}
 
 	rename('../avatars/'.$_FILES['filename']['name'], "../avatars/". $randstring);
 	return $randstring;
	} 
 
 
 
function sendMail(){
	ob_start();
	$addressee = 'ajjambor912@gmail.com'; 	
	@$email = $_POST['email'];
 
	@$content = 'Name '.$_POST['username'].'  Phone: '.$_POST['userphone'].' Content: '.$_POST['message'];
 
	$header = 	"From: ".$_POST['email']." \nContent-Type:".
			' text/plain;charset="iso-8859-2"'.
			"\nContent-Transfer-Encoding: 8bit";
	if (mail($addressee, 'Message from NAhandyman: ', $content , $header))
 
			header('Location:index.php?send=true');
	else 
			header('Location:index.php?send=false');
}
 ?>
[PHP] pobierz, plaintext 

Tutaj jest błąd

[PHP] pobierz, plaintext 
$stmt = $conn->exec("INSERT INTO Users ( ID ,  Nazwa , Haslo ,  mail , name ,  city ,  image ,  desci ,  activate ,  admin ) VALUES ('$userID','$userLogin', '$userPass', '$userMail', '$userName', '$userCity, $avatar', '$userDesc', 0 , 0 "); 
[PHP] pobierz, plaintext 

Skąd wiem? Bo jak wykomentuje to skrypt leci do kolejnej lini i mam wyświetla się ok, z echa. Jeśli skasuje komentarz to przechodzi do instrukcji catch i z echa wyświetla się duppp.

[viking]

Jaki błąd? echo $e->getMessage();
Poza tym http://php.net/manual/en/pdo.prepare.php

[Dukov]

SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1


Błąd składni widocznie, jakiś znak źle, ale sorry już mi się tak miesza, że nie dojdę sam do tego, więc jak ktoś mi to wytłumaczy łopatologicznie będę wdzięczny, tymbardziej, że skrypt logowania będę musiał dopracować (ale tamten działa, tylko przekierowania zrobić) do tego zahashować hasła i dopisać funkcje sprawdzającą, czy nie istnieje już taki plik. Z czy się nie powtarza ID już zrobiłem i nawet ładnie rekurencyjnie mi to wyszło :] no i wysłanie maila ogarnąć. A ostatnie tabele, admin itd, mam w tabeli jako boolean, choć z automatu mi dało TINYINT, a przed tymi kolumnami mam też KEY jako A_I, nie wiem czy nie powineinem tam dopisać pustej wartości czy coś.

Ten post edytował Dukov 25.07.2017, 16:13:24

[viking]

'$userCity, $avatar'

Poza tym id to nie wartość string jak to teraz zapisujesz. Zastosuj prepare i problem zniknie.

[Dukov]

Albo czegoś nie zrozumiałem albo jestem ślepy i czegoś nie widzę, pozmieniałem ale nadal to smao

[PHP] pobierz, plaintext 
if($row['Nazwa'] == 0 && $row['mail'] == 0 ){
 
				$stmt = $conn->prepare("INSERT INTO Users ( ID ,  Nazwa , Haslo ,  mail , name ,  city ,  image ,  desci ,  activate ,  admin ) VALUES ($userID,'$userLogin', '$userPass', '$userMail', '$userName', '$userCity', '$avatar', '$userDesc', 0 , 0 "); 
				$stmt->execute();
 				echo "ok";
				#$sendMail();
			}
[PHP] pobierz, plaintext 

[viking]

Naprawdę w dokumentacji jest to tak zapisane? Poza stosuj `` do nazw.

[Dukov]

Nie wiem jak jest w dokumentacji, ale siedzę przy kompie w zasadzie odkąd mam l4, czyli od 18 lipca z kilkoma przerwami na sen i już nie mam siły tam zajrzeć, a chciałbym, żeby to tylko działało. Na nauke przyjdzie pora, jak się wezmę za system komentarzy ale musze już odpocząć.

Ten post edytował Dukov 25.07.2017, 16:33:42

[viking]

https://dev.mysql.com/doc/refman/5.7/en/keywords.html
I poszukaj sobie name. Później zastosuj się do mojego poprzedniego wpisu.

[Dukov]

Majster, wszystko jest ok, tylko jak to ja, przeoczyłem zamknięcie nawiasów VALUES

[viking]

Z kodu powyżej nie wynika żebyś miał problem z zamknięciem tylko ewidentnie słowo kluczowe. I zrób w końcu coś z tym sql injection. Wzorzec na weryfikację maila jest też jakimś przestarzałym badziewiem.

Ten post edytował viking 26.07.2017, 03:37:14

[Tomplus]

Tak jak mówi viking zainteresuj się funkcją do walidacji wartości:
http://php.net/manual/en/filter.examples.validation.php

Oraz hashowaniem hasła:
password_hash

[Pyton_000]

Z kodu powyżej nie wynika żebyś miał problem z zamknięciem tylko ewidentnie słowo kluczowe. I zrób w końcu coś z tym sql injection. Wzorzec na weryfikację maila jest też jakimś przestarzałym badziewiem.

No proooszę cię Toż tam brakuje ) na końcu a nie żadne keyword.

[Dukov]

Hej, znowu będę Wam zawracał głowę

Mam pewien problem oczywiście z bazą, nie działa to zapytanie

[PHP] pobierz, plaintext 
$stmt = $conn->prepare("INSERT INTO articles (articleID, userID, author, title, artciletext, authorIP, createDate, editDate ) VALUES ('$articleID','$userID', '$user', '$title', '$articletext', '$ip' , '$date', '$modify')"); 
[PHP] pobierz, plaintext 

A tu cały kod

[PHP] pobierz, plaintext 
<?php 
session_start();
function checkExists($title){
 
		try{	
			$conn = new PDO("mysql:host=localhost;dbname=wojtecki", 'root', '');
			$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
			$stmt = $conn->prepare("SELECT count(*) FROM articles WHERE title = '$title'"); 
			$stmt->execute();
			$row = $stmt->fetch();
			$result = $row[0];
 
 
			$conn = null;
			if($result <> 1){ 
				return 1;
			}
			else
			{
				header("Location: ../admin.php?id=news&news=exist");
				return;
			}	
		}
		catch(PDOException $e){
			$e ->getMessage();
			echo $e;
		}	
}
function checkID(){
 
 
 
	try {
 
			$len = 20;
			$articleID = substr(sha1(rand(1,10000)),0,$len);
 
    		$conn = new PDO("mysql:host=localhost;dbname=wojtecki", "root", "");
			$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
			$stmt = $conn->prepare("SELECT count(*) FROM articles WHERE articleID = '$articleID'"); 
			$stmt->execute();
			$row = $stmt->fetch();
			$result = $row[0];
			$conn = null;
			if ($result != 1){
				return $articleID;
 
			}
			else{
				checkID();
			}
 
 
		}
	catch(PDOException $e)
    {
   	 	$e->getMessage();
 
 
    }
 
} 
function getAuthor(){
 
	try {
 
 
			$userID = $_SESSION['log'];
 
 
    		$conn = new PDO("mysql:host=localhost;dbname=wojtecki", "root", "");
			$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
			$stmt = $conn->prepare("SELECT login, lastiplogin FROM users WHERE userID = '$userID'"); 
			$stmt->execute();
			$row = $stmt->fetch();
			$author = $row['login'];
			$authorArray["login"] = $author;
			$authorArray["userID"] = $userID;
			$authorArray['lastiplogin'] = $row['lastiplogin'];
			return $authorArray;
			$conn = null;
		}
		catch(PDOException $e)
   		{
   	 		$e->getMessage();
 
 
    	}
 
} 
 
function insertNews($articletext,$title){
 
	try {
		echo 'dupa';
		$date = date("H.i d-m-Y");
		$modify = date("H.i d-m-Y");
		$articleID = checkID();
		$author = getAuthor();
			$userID = $author['userID'];
			$user = $author['login'];
			$ip = $author['lastiplogin'];
		$conn = new PDO("mysql:host=localhost;dbname=wojtecki", 'root', '');
		$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
		echo 'idartu'. $articleID;
		echo "<br>userID". $userID;
		echo "<br>autor". $user;
		echo "<br>title". $title;
		echo "<br>art". $articletext;
		echo "<br>ip". $ip;
		echo "<br>userID". $userID;
		$stmt = $conn->prepare("INSERT INTO articles (articleID, userID, author, title, artciletext, authorIP, createDate, editDate ) VALUES ('$articleID','$userID', '$user', '$title', '$articletext', '$ip' , '$date', '$modify')"); 
  		$stmt->execute();
  		$conn = null;
 
  	}
 	catch(PDOException $e)
  	{
   		$e->getMessage();
	}
}
	$title ='dupa';
	$articletext = 'fefefefefefefefwefefegrgewrrefwefegwecefa';
	$check = checkExists($title);
	if ($check == 1) {
		insertNews($articletext,$title);	
	}
 
?>
[PHP] pobierz, plaintext 

Wiem, że problem jest z zapytaniem, bo skrypt działa do miejsca, w którym wyświetlam zmienne, które mają być do niej wpisane, wrzuciłem je do echo, bo myślałem, że może któraś zmienna jest pusta albo z nimi jest problem, ale widzę, że wyświetla je, tak jakimi powinny być.

Ten post edytował Dukov 7.08.2017, 20:05:31

[trueblue]

Wydrukuj na ekran pełną treść zapytania (z podstawionymi zmiennymi) i wykonaj bezpośrednio na bazie (np. w PHPMyAdmin czy kliencie desktopowym).

P.S. Jeśli nie bindujesz wartości do zapytań, to prepare+execute jest zupełnie niepotrzebne, wystarczy exec. Ale oczywiście binduj, jeśli nie ufasz zawartości i pochodzeniu zmiennych.

[Dukov]

AuthorIP miałem jako INT, a w adresie są kropki. Dzięki, na przyszłość będę wiedział, że jak coś wygląda ok, to żeby sprawdzić sam SQL, aczkolwiek możesz mi powiedzieć, czy dobrze robię, ze każda funkcja, która potrzebuje coś z bazy łączy się z bazą? Czy lepiej napisać osobną funkcje do łączenia z bazą? Albo łączyć się tylko w głównej funkcji i wywoływać w niej pozostałe?

EDIT
Działa.

Ten post edytował Dukov 7.08.2017, 20:38:18