[php]problem z zapytaniami SQL

[php]problem z zapytaniami SQL, problem z cudzysłowiami

$ledziu Zobacz profil	28.12.2007, 21:31:52 Post #1
Grupa: Zarejestrowani Postów: 6 Pomógł: 0 Dołączył: 16.12.2007 Ostrzeżenie: (0%)	Cześć!! (IMG:http://forum.php.pl/style_emoticons/default/wstydnis.gif) Mam taki problem. Otóż mam sobie taki kod (kawałek): [PHP] pobierz, plaintext <?php . . . $pytanie=$_REQUEST["pytanie0"]; $baza=mysql_select_db("$wybor_bazy") or die ('<br>syf nie pozwolił wybrać bazy'); $rezultat=mysql_query("$pytanie") or die("nie wykonano zapytania"); echo "<b>$rezultat</b><br>"; while ($wynik5=mysql_fetch_array($rezultat,MYSQL_ASSOC)) { var_dump($wynik5); echo "<br>"; } . . . ?> [PHP] pobierz, plaintext $pytanie pochodzi z tąd: [HTML] pobierz, plaintext . . . <form method=POST action=<? echo $_SERVER['PHP_SELF'] ?> > <table border=0> <tr><td>logowanie:</td><td>user: <input type=text name=user size=15> password: <input type=text name=password size=15></td></tr> <tr><td></td><td><input type=submit value="loguj"></tr> <tr><td>nazwa bazy:</td><td><input type=text name=nazwa_bazy bazy size=30></td></tr> <tr><td></td><td><input type=submit value="stwórz"> <input type=submit value="usuń"></tr> <tr><td>baza:</td><td><input type=text name=baza0 size=15></td></tr> <tr><td>pytanie:</td><td><input type=text name=pytanie0 size=50x50></td></tr> <tr><td></td><td><input type=submit value="wykonaj kod SQL"></tr> </table> </form> . . . [HTML] pobierz, plaintext wszystko łądnie działa dopóki w pytaniu SQL nie występuje koniecznośc użycia cudzyłowia lub dzyndzli (IMG:http://forum.php.pl/style_emoticons/default/blinksmiley.gif) . Przykładowo [SQL] pobierz, plaintext SELECT * FROM klienci; [SQL] pobierz, plaintext hula (IMG:http://forum.php.pl/style_emoticons/default/guitar.gif) [SQL] pobierz, plaintext SHOW TABLES; [SQL] pobierz, plaintext hula (IMG:http://forum.php.pl/style_emoticons/default/guitar.gif) . Ale jak już wpisze troche mocniejszy kodzik: [SQL] pobierz, plaintext SELECT imie FROM klienci WHERE imie='Ania'; [SQL] pobierz, plaintext to się sypie. plis help

xbigos Zobacz profil	28.12.2007, 21:38:55 Post #2
Grupa: Zarejestrowani Postów: 239 Pomógł: 27 Dołączył: 13.07.2005 Skąd: Jarocin Ostrzeżenie: (0%)	[SQL] pobierz, plaintext $query = "SELECT `imie` FROM `klienci` WHERE `imie` = `Ania`"; [SQL] pobierz, plaintext Po co dawać zapytanie do bazy pobierz imię z tabeli klientów gdzie imię jest równe ANIA? Ten post edytował xbigos 28.12.2007, 21:40:19

$ledziu Zobacz profil	28.12.2007, 21:55:08 Post #3
Grupa: Zarejestrowani Postów: 6 Pomógł: 0 Dołączył: 16.12.2007 Ostrzeżenie: (0%)	Pytanie nie brzmi poco(to tylko przykład) tylko dlaczego nie działa u mnie bo np w Query browser hula, a chodziło mi oto, iż problem jest z przekazywaniem cudzysłowiów (chyba). Bo jak widać próbowałem zrobić pseudo system zarządzania bazą danych. Wiele pytań SQL wykorzystuje znak ' lub " (zwłaszcza jesli tyczy się STRING ' ów ;D) i chciałem wiedzieć dlaczego w moim kodzie to nie hula?? (IMG:http://forum.php.pl/style_emoticons/default/blinksmiley.gif)

Hazel Zobacz profil	28.12.2007, 21:56:43 Post #4
Grupa: Zarejestrowani Postów: 492 Pomógł: 33 Dołączył: 16.08.2007 Skąd: Wrocław Ostrzeżenie: (0%)	Zamiast cudzysłowów wpisuj ciąg \" albo \' . I poza tym to jest po prostu sql injection, problem przed którym trzeba się zabezpieczać, a nie tworzyć skrypty podatne na niego. Zakrawa trochę o hacking.

$ledziu Zobacz profil	28.12.2007, 22:02:34 Post #5
Grupa: Zarejestrowani Postów: 6 Pomógł: 0 Dołączył: 16.12.2007 Ostrzeżenie: (0%)	Dzięki Hazel.... No cóż ćwiczę (IMG:http://forum.php.pl/style_emoticons/default/czarodziej.gif)

« Następny starszy · Przedszkole · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 23.08.2025 - 04:04

Hosting zapewnia

Forum PHP.pl