TIP: Přetáhni ikonu na hlavní panel pro připnutí webu
Zdravim , kdyz odeslu sql kde podminka porovnava ciselny hodnoty tak vysledek v pohode vyjde, ale jakmile chci porovnavat nejakej text vyhodi mi to chybu, nevite nekdo cim to je? (tohle treba nejde : select * from `USER_ACCOUNT` where username='uzivatelsky jmeno')
Newbie
<?php
include("soubor.php");
$select_id = mysql_query($_POST["sqlselectrow"]);
$result = mysql_fetch_array($select_id);
print_r($result);
?>Musíš napsat jakou chybu Ti to hlásí a také nejspíš obsah souboru "soubor.php", který includuješ. Nehledě na to, že tenhle kousek skriptu žádné číselné ani jiné hodnoty nekontroluje a neporovnává, logicky je taky špatně. Nebo důvod proč username ukládáš do $select_id. Doufám, že soubor.php je plný ošetření sql inj., apod. jinak je to dost nebezpečný a zcela nelogický skript - podle tebe nefunkční.
#3 null_while
Tak chybu sem uz vyresil, data sem posilal ze c# a chyba byla v tom ze se posilalo sql, do kteryho se automaticky pridaly k vyrazu \ pred apostrof , bez lomitek neni problem, jak to ochranit resim , ale zatim docela bezvysledne protoze php vlastne skoro vubec neumim, navrhujes nejaky reseni? jinak v c# mam oosetreni sql inj + integritu.
#4 ejtix
Rozhodně bych do query nestrkal rovnou proměnnou z POST, ale uložil si jí například jako $sql, kterou mohl zabezpečit tím, zda-li existuje, zda-li povoluje povolené znaky a funkcí htmlspecialchars. Jelikož neznám form a nevim jestli se možnosti vybírají nebo přes nějaký text, textarea input vyplňují manuálně, stejně bych to takto ošetřoval. Navíc nikde nevidím kontrolu, zda-li hodnota v $_POST existuje a pokud ne jaký return se má vlastně vrátit.
Zjistit počet nových příspěvků
Ano, opravdu chci reagovat → zobrazí formulář pro přidání příspěvku
© 2003–2024 Programujte.com
Nahlásit jako SPAM
IP: 78.45.147.–
Posthunter
Věrný člen