[php][sql]sortowanie, czemu nie działa? Opcje

[Oscar_83]

Witam miałem sortowanie działało, a teraz nie wiem czemu nie działa, dzisiaj zauważyłem że nie działa (nie wiem ile czasu tak już jest), nie mogę dojść czemu to nie działa, a oto kod:

[PHP] pobierz, plaintext 
<?php
$polaczenie = mysql_connect("localhost", "xxx", "xxx") or die("Sprawdź połączenie z serwerem");
			  mysql_select_db("mzukowski",$polaczenie);
mysql_query('SET NAMES latin2');
 
empty($_GET['sort'])?$sort='nazwisko':$sort=$_GET['sort'];
$query = 'SELECT * FROM zawodnicy ORDER BY "'.$sort.'"' ;
$results = mysql_query($query, $polaczenie) or die (mysql_error());
$num_zawodnicy = mysql_num_rows($results);
 
$zawodnicy = '
<h2><center><br><font face="lucida console">ZAWODNICY W DRUŻYNIE</font><br><br></center></h2>
<table width="90%" border="1" cellpadding="2" cellspacing="2" align="center" bgcolor="FFFFFF">
	   <tr>
		   <th><font color="416F76">L.p</font>
		   <th><a href="zawodnicy2.php?sort=imie" style="text-decoration: none">Imię</a></th>
		   <th><a href="zawodnicy2.php?sort=nazwisko" style="text-decoration: none">Nazwisko</a></th>
		   <th><a href="zawodnicy2.php?sort=pozycja" style="text-decoration: none">Pozycja</a></th>
		   <th><a href="zawodnicy2.php?sort=wiek" style="text-decoration: none">Wiek</a></th>
		   <th><a href="zawodnicy2.php?sort=narodowosc" style="text-decoration: none">Narodowosc</a></th>
		   <th><a href="zawodnicy2.php?sort=bramki" style="text-decoration: none" title="Goli w tym sezonie">Gole</a></th>
		   <th><a href="zawodnicy2.php?sort=bramki_w_kar" style="text-decoration: none" title="Goli w karierze">G_k</a></th>
		   <th><a href="zawodnicy2.php?sort=hattrickow" style="text-decoration: none" title="Hattricków w karierze">H</a></th>
		   <th><font color="416F76">Uwagi</th></font>
	   </tr>
';
$lp = 0;
$wiek_sr = 0;
 
while($row=mysql_fetch_assoc($results)){
  $lp++;
  $wiek_sr += $row['wiek'];
  $zawodnicy .= '
  <tr>
	  <td>'.$lp.'</td>
	  <td>'.$row['imie'].'</td>
	  <td>'.$row['nazwisko'].'</td>
	  <td>'.$row['pozycja'].'</td>
	  <td style="text-align: center;">'.$row['wiek'].'</td>
	  <td>'.$row['narodowosc'].'</td>
	  <td style="text-align: center;">'.$row['bramki'].'</td>
	  <td style="text-align: center;">'.$row['bramki_w_kar'].'</td>
	  <td style="text-align: center;">'.$row['hattrickow'].'</td>
	  <td>'.$row['uwagi'].'&nbsp;</td>
  </tr>
';
}
?>
[PHP] pobierz, plaintext 

Bardzo bym prosił o sprawdzenie kodu, może ktoś wyłapie co tu jest nie tak, ja już nie mam siły.. :/

[drPayton]

Hmmm, jest parę niestandardowych zapisów, ale poprawnych. Dane w tabeli wyświetla, tylko nie sortuje ich, tak?
Jeśli tak to dziwne, ja tu błędu nie widzę.

[Kicok]

Nazw kolumn/tabel nie umieszczamy w apostrofach/cudzysłowie, bo będą traktowane jako tekst.

[drPayton]

@Kicok:
O co Ci chodzi? Coś Ci się chyba "potegociło"

@Oscar_83:
Sprawdziłem u siebie - ten kod jest w 100% poprawny. Problem musi leżeć gdzieś indziej. Napisz dokładnie co to znaczy "nie działa" - jakiś błąd? Nic się nie dzieje?
U mnie jak już pisałem wszystko jest OK z tym kodem.

Ten post edytował drPayton 31.08.2007, 10:59:20

[Oscar_83]

Już dostałem odpowiedź na forum PHP (szczerze mówiąc to zapomniałem że w przedszkolu pytałem), wystarczyło zmienić tylko jedną linjke na taką:

[PHP] pobierz, plaintext 
<?php
$query = "SELECT * FROM zawodnicy ORDER BY `".$sort."`" ;
?>
[PHP] pobierz, plaintext 

Wydaje mi się że działo się to przez to że wgrali mi na serwer nowego phpmyadmina i pewnie on przyjmuje tylko tak jak jest podane wyżej, teraz działa wszystko ładnie pięknie.

[-Wieviór-]

PhpMyAdmin raczej nie ma tutaj nic do gadania, jedynie SQL. Najpoprawniejsza wersja:

[PHP] pobierz, plaintext 
<?php
$query = "SELECT * FROM zawodnicy ORDER BY `"'.$sort.'"`" ;
?>
[PHP] pobierz, plaintext 

[drPayton]

@Wieviór: Najpoprawniejsza to taka, która nie ma prawa działać (parse error)?

Pytanie do kogokolwiek zorientowanego:
Jakim cudem taka zmiana (dodanie ``) do nazwy pola, tabeli może mieć jakikolwiek wpływ na działanie skryptu? Na pewno wtedy, gdy pole nazwane jest jakimś słowem zastrzeżonym (np order, select etc), wtedy muszą być "ciapki" (by @qqrq), ale tu takiej sytuacji nie ma, więc?

Ten post edytował drPayton 10.09.2007, 16:27:46

[-Wieviór-]

Bardzo słusznie

[PHP] pobierz, plaintext 
<?php
$query = "SELECT * FROM zawodnicy ORDER BY '".$sort."'" ;
?>
[PHP] pobierz, plaintext 

Tak lepiej

EDIT: @drPayton: Nie jestem pewien, ale chyba ` ` ma to samo działanie co ' '. Jeśli tak, to dodawanie pojedynczego cudzysłowu ma jak najwięcej sensu - w końcu tutaj zmienna $sort jest tekstowa, więc powinna być ujęta w cudzysłów. Na niektórych serwerach to działa bez cudzysłowu, inne tego wymagają, zależy chyba od wersji PHP bądź SQL'a.

Ten post edytował Wieviór 10.09.2007, 17:04:41

[drPayton]

chyba ` ` ma to samo działanie co ' '.

Nie, apostrofy do wstawiania wartości nieliczbowych, "ciapki" obejmują nazwy tabel/kolumn etc, ale już postgres na nich polegnie...

Jeżeli ma to jakiekolwiek znaczenie (za wyjątkiem przypadku o którym pisałem), to musi zależeć od wersji php/mysql. Ale jakoś nigdy się z czym takimś nie spotkałem, a zaliczyłem już sporo (sub)wersji obu w/w.
Ciut ciężko mi uwierzyć w to, żeby faktycznie to to dostawienie "ciapek" rozwiązało problem, raczej przypadek tudzież gdzie indziej był jakiś "drobny" błąd, o którym @Oscar_83 nie napisał.

Fajnie by było jednak dowiedzieć się tego od kogoś ciut mądrzejszego ode mnie
Więc...? Ktokolwiek...?

Ten post edytował drPayton 10.09.2007, 18:10:58

[Kicok]

Jaki problem zrobić testy?


Najpierw tworzymy prostą tabelę:

[SQL] pobierz, plaintext 
CREATE TABLE `tabela` (
  `kolumna` int(10) UNSIGNED NULL
);
 
INSERT INTO tabela ( kolumna ) VALUES ( 111 );
INSERT INTO tabela ( kolumna ) VALUES ( 333 );
INSERT INTO tabela ( kolumna ) VALUES ( 222 );
[SQL] pobierz, plaintext 

Ważne jest to, żeby wstawić do tabeli jakieś NIEPOSORTOWANE dane


A teraz można już przetestować sobie ciapki:

[SQL] pobierz, plaintext 
SELECT kolumna FROM tabela
[SQL] pobierz, plaintext 

[SQL] pobierz, plaintext 
SELECT kolumna FROM tabela ORDER BY kolumna
[SQL] pobierz, plaintext 

[SQL] pobierz, plaintext 
SELECT kolumna FROM tabela ORDER BY `kolumna`
[SQL] pobierz, plaintext 

[SQL] pobierz, plaintext 
SELECT kolumna FROM tabela ORDER BY 'kolumna'
[SQL] pobierz, plaintext 

[SQL] pobierz, plaintext 
SELECT kolumna FROM tabela ORDER BY "kolumna"
[SQL] pobierz, plaintext 

[SQL] pobierz, plaintext 
SELECT kolumna FROM tabela ORDER BY "Jakiś tekst, który nie jest nazwą kolumny"
[SQL] pobierz, plaintext 

[SQL] pobierz, plaintext 
SELECT kolumna FROM tabela ORDER BY 'Jakiś tekst, który nie jest nazwą kolumny'
[SQL] pobierz, plaintext 

[SQL] pobierz, plaintext 
SELECT kolumna FROM tabela ORDER BY `Jakiś tekst, który nie jest nazwą kolumny`
[SQL] pobierz, plaintext 

Które zapytania zwrócą posortowane dane, które nieposortowane, a które wyrzucą błąd? ;]

[viraptor]

A może by tak jeszcze jakiś escape tego $_GET['sort']? Inaczej ktoś Ci tam doda UNION 'inna tabela' a potem INTO OUTFILE i zbierze całą bazę danych... Trochę bezpieczeństwa

[-Wieviór-]

A może by tak jeszcze jakiś escape tego $_GET['sort']? Inaczej ktoś Ci tam doda UNION 'inna tabela' a potem INTO OUTFILE i zbierze całą bazę danych... Trochę bezpieczeństwa

Napisz coś więcej na ten temat albo zarzuć jakimś linkiem, chętnie się dowiem...

[viraptor]

Napisz coś więcej na ten temat albo zarzuć jakimś linkiem, chętnie się dowiem...

Jako $sort (a właściwie $_GET['sort']) wrzucasz w skrypt:
kolumna`,(BARDZO FAJNY SELECT...),`kolumna

Chodzi po prostu o bardziej zakręcone injection. Z UNION troche przesadziłem, bo tu nie przejdzie, ale można inne rzeczy zrobić. No to w przykładach pewnie najlepiej:

[SQL] pobierz, plaintext 
SELECT ... ORDER BY `kol`,(SELECT 1 INTO OUTFILE 'plik_do_zebrania_z_serwera'),`kol`;
[SQL] pobierz, plaintext 

Zrzuci wynik całego oryginalnego zapytania do tego pliku.

[SQL] pobierz, plaintext 
SELECT kolumna_z_dwoma_wartościami_42 AS kol, inna_kolumna ORDER BY `kol`,(SELECT IF(coś_na_wybranie_pierwszej_wartości_42 AND (SELECT password FROM users LIMIT 1)>"abcd", 1, 2)),`kol`;
[SQL] pobierz, plaintext 

Posortuje powtórzenia w sposób... odpowiedni po kilku testach można znaleźć odpowiednie hasło / hasha / ... na podstawie ułożenia rekordów.

Można cały dzień sypać przykładami co da się zrobić z injectem do ORDER BY... - po prostu do bazy NIGDY nie powinna pójść nieescapowana wartość.