MySqli update problém – PHP – Fórum – Programujte.com

Ahoj, pracujem s MySQLi a potrebujem prepísať vo formulári pri úprave používateľa jeho meno, ktoré sa updatne do existujúceho záznamu do databázy... Skúste mi poradit.. Stále dostávam odpoveď z Mysqli, že " unexpected.. neviete mi s tým pomôcť? :( Neviem si už pomoct. Keď dám toto, dostanem takúto odpoveď: unexpected " a to je na konci Mysqli query...  nechápem tomu.. prosím upravte mi to, ak viete

 $nick_get = mysqli_query($con,"SELECT * FROM `Users` WHERE `UserID`='".$_SERVER['QUERY_STRING']."'") or die(mysqli_error());
$nick = mysqli_fetch_assoc($nick_get); 
              $ins = mysqli_query($con,"UPDATE `Users` SET
   `Username` = $username, 
   `Email` = $email,  
   `Fullname` = $fullname,  
   `expdate` = $expdate  
   WHERE `UserID` =  $nick['UserID']  ") 
     echo "Používateľ bol pozmenený!";  

#1 Marek
Řetězce v SQL dotazu musí být v apostrofech. Případně můžeš použít prepared statements.

Pomůcka: Místo provedení SQL dotazu si ho nechej zobrazit.

Nie, nefunguje to, stále totožná chyba.. :( 

#3 Marek 

<?php

	$nick_get = mysqli_query($con,"SELECT * FROM `Users` WHERE `UserID` = ".$_SERVER['QUERY_STRING']) or die(mysqli_error());

	$nick = mysqli_fetch_assoc($nick_get); 
              
	$ins = mysqli_query($con,"UPDATE `Users` SET
   				  `Username` = '".$username."', 
   				  `Email` = '".$email."',  
   				  `Fullname` = '".$fullname."',  
   				  `expdate` = '".$expdate."'  
   				  WHERE `UserID` = ".$nick['UserID']);

     	echo "Používateľ bol pozmenený!";  

#4 chita
Ďakujem ti. Chita a mohol by si mi pomôcť? Keď tak mailom ešte ohľadom niečoho :) 

#4 chita
Bohužel je v tom SQL Injection, takže to není použitelné.

#6 Kit
Ono mi to vypíše že používateľ bol poznmenený, no nezmení sa to.. :( 

#7 Marek
Evidentně nebyla splněna podmínka 

WHERE `UserID` = ".$nick['UserID']

Podle mne je natolik nesmyslná, že ani splněna být nemohla. K čemu tam vlastně máš ten první (zcela zbytečný) SELECT?

 <form class="login-form" method="post" action='user.php?<?php echo $nick['UserID'];?>'>                        
      Nick:<input type="text" name="username" value=<?php echo $nick['Username']; ?>><br />  
      Email:<input type="text" name="email" placeholder="E-mail" value=<?php echo $nick['Email']; ?>>                           <br />
     Meno a priezvisko<input type="text" name="fullname" placeholder="Meno a Priezvisko" value=<?php echo $nick['Fullname']; ?>>                    <br />
     Dátum expirácie: <input type="datetime-local" value="2000-01-01T00:00:00" name='expdate' />
      <button type="submit" name="update">Upraviť</button>
    </form>
    
    
                       <?php
                               if(isset($_POST['update'])){
  $username = ($_POST['username']);
  $email = ($_POST['email']);
  $fullname = ($_POST['fullname']);
  $expdate = ($_POST['expdate']);
        if($username == "" || $email == "" || $fullname == ""){
    echo "Na niečo si zabudol!";
  }elseif(strlen($username) > 45){
    echo "Meno registrovaného používateľa je príliš dlhé!";
  }elseif(strlen($email) > 45){
    echo "E-mail registrovaného používateľa je veľmi dlhý!!";
  }elseif(strlen($fullname) > 45){
    echo "Meno a priezvisko používateľa sú veľmi dlhé, prosím skráťte ich!";
  }else{
    $register1 = mysqli_query($con,"SELECT `UserID` FROM `Users` WHERE `Username`='$username'") or die(mysqli_error());
    if(mysqli_num_rows($register1) > 0){
      echo "Toto meno je už používané!";  
    }else{ $nick_get = mysqli_query($con,"SELECT * FROM `Users` WHERE `UserID` = ".$_SERVER['QUERY_STRING']) or die(mysqli_error());

	$nick = mysqli_fetch_assoc($nick_get); 
              
	$ins = mysqli_query($con,"UPDATE `Users` SET
   				  `Username` = '".$username."', 
   				  `Email` = '".$email."',  
   				  `Fullname` = '".$fullname."',  
   				  `expdate` = '".$expdate."'  
   				  WHERE `UserID` = ".$nick['UserID']);

     	echo "Používateľ bol pozmenený!";  
                  }   }}?>

Nerozumiem tomu :) skús to pochopiť z tohto všetkého... :) 

Nepoužívej query string, dej si tam pojmenovaný parametr.

Nevkládej uživatelská data do HTML tak jak jsou. Přeformátuj je do HTML. (Co když si dám jméno "hele<img src='http://nekde/penis.jpg'/>hele" ?

Nevkládej uživatelská data do SQL tak jak jsou. Přeformátuj je do SQL. (Co když si dám jméno "pepa' or 'username'='admin" ?)

Ten poslední select k ničemu nepotřebuješ.

Takhle nějak by to snad mohlo fungovat:

<?php
	$html['userid']   = htmlspecialchars($nick['UserID']);
	$html['username'] = htmlspecialchars($nick['username']);
	$html['email']    = htmlspecialchars($nick['email']);
	$html['fullname'] = htmlspecialchars($nick['fullname']); 
?><form class="login-form" method="post" action="user.php?userid="<?php echo $html['userid'];?>">                        
Nick:<input type="text" name="username" value="<?php echo $html['username']; ?>"><br />  
Email:<input type="text" name="email" placeholder="E-mail" value="<?php echo $html['email']; ?>"><br />
Meno a priezvisko<input type="text" name="fullname" placeholder="Meno a Priezvisko" value="<?php echo $html['fullname']; ?>"><br />
Dátum expirácie: <input type="datetime-local" value="2000-01-01T00:00:00" name="expdate" />
<button type="submit" name="update">Upraviť</button>
</form>
<?php
	if(isset($_POST['update'])){
		$username = ($_POST['username']);
		$email = ($_POST['email']);
		$fullname = ($_POST['fullname']);
		$expdate = ($_POST['expdate']);
		if($username == "" || $email == "" || $fullname == ""){
			echo "Na niečo si zabudol!";
		}elseif(strlen($username) > 45){
			echo "Meno registrovaného používateľa je príliš dlhé!";
		}elseif(strlen($email) > 45){
			echo "E-mail registrovaného používateľa je veľmi dlhý!!";
		}elseif(strlen($fullname) > 45){
			echo "Meno a priezvisko používateľa sú veľmi dlhé, prosím skráťte ich!";
		}else{
			if ($isadmin){/*toto si nějak uprav*/
				$sql['userid'] = (int)$_GET['userid'];
			}else{
				$sql['userid'] = (int)$nick['UserID'];
			}

			$sql['username'] = mysqli_real_escape_string($con, $username);
			$sql['email']    = mysqli_real_escape_string($con, $email); 
			$sql['fullname'] = mysqli_real_escape_string($con, $fullname); 
			$sql['expdate']  = mysqli_real_escape_string($con, $expdate); 

			$register1 = mysqli_query($con,"SELECT `UserID` FROM `Users` WHERE `Username`='".$sql['username']."'") or die(mysqli_error());
			if(mysqli_num_rows($register1) > 0){
				echo "Toto meno je už používané!";  
			}else{
				$ins = mysqli_query($con,"UPDATE `Users` SET
				                         `Username` = '".$sql['username']."', 
				                         `Email` = '".$sql['email']."',  
				                         `Fullname` = '".$sql['fullname']."',  
				                         `expdate` = '".$sql['expdate']."'  
				                         WHERE `UserID` = ".$sql['userid']) or die(mysqli_error());
				
				echo "Používateľ bol pozmenený!";  
			}
		}
	}
?>

Mám tam nějaké chyby, to najdeš :-)