-
PHP
(
http://www.devprotalk.com/forumdisplay.php?f=9)
| LiquidBrain |
15. 09. 2006. 16:59 |
PHP & INSERT INTO mySQL ne radi :(
Pozdrav ljudi, eto da i ja imam jedan problem pa mi treba mala pomoc :(
Problem je u sledecem:
Kôd:
$query = "INSERT INTO Client (fname, lname, email, address, tel, country, zip)
VALUES ($custom_First_Name, $custom_Last_Name, $from, $custom_Address,
$custom_Phone_Number, $custom_Country, intval($custom_Post_Code)";
$result = mysql_query($query) or die(mysql_error());
jednostavno nece da upishe podatke u tabelu :(
nije problem oko dozvola jer user koji se konektuje na bazu ima sve privilegije. A i sem toga cudno mi je jer SELECT query radi bez problema.
A shto je najveci problem ne vraca nikakav error. Zbunjen sam skrozz:1050: :1092:
Da li znate shta bi mogao da bude problem, poshto mi je to veoma neophodno, a nece da radi.
Unapred hvala. |
| BluesRocker |
15. 09. 2006. 17:47 |
Može biti da imaš više polja u tabeli nego što si uključio u query.
|
| dinke |
15. 09. 2006. 17:52 |
Pa nije ni cudo da ti ne radi kad nisi stavio nijdno string polje unutar navodnika. Dakle, treba:
Kôd:
$query = "INSERT INTO Client (fname, lname, email, address, tel, country, zip)
VALUES ('$custom_First_Name', '$custom_Last_Name', '$from', '$custom_Address',
'$custom_Phone_Number', '$custom_Country', '$custom_Post_Code' ";
|
| LiquidBrain |
15. 09. 2006. 18:56 |
Da, hvala. to je u sushtini bio problem.
|
| jablan |
15. 09. 2006. 19:11 |
Samo pripazi šta će da se desi ako u samim vrednostima promenljivih imaš apostrof... ;)
|
| LiquidBrain |
15. 09. 2006. 19:15 |
Da znam, provereno vec ;) ako bude imalo onda je SQL injection ;)
|
| cvele |
13. 10. 2006. 13:58 |
Citat:
Originalno napisao LiquidBrain
Da znam, provereno vec ;) ako bude imalo onda je SQL injection ;)
|
PHP kôd:
function escape_sql($text) {
// return $text;
$text = str_replace("\\", "\\\\", $text);
return str_replace("'", "''", $text);
}
function escape_sql($string) {
return get_magic_quotes_gpc() ? $string : addslashes($string);
}
i jos hiiiiiiljade varijanti :) |
| LiquidBrain |
13. 10. 2006. 15:47 |
To plus regularni izrazi da se uverim da neko nije pokushao neshto... Ako jeste odma logujem IP :)
|
| Ilija Studen |
13. 10. 2006. 17:11 |
Samo par tipova, možda nekom bude koristilo:
- Stripovanje slasheva treba odraditi odmah, negde u headeru. Samo stripovanje pri interakciji sa bazom može doveste da se (nepravilni) stringovi sa slashevima sačuvaju u neki drugi "izvor" (fajl, pošalju nekom web servisu or whatever). Strip odmah pa ni ne razmišljaš o tome.
- Umesto da koristiš sopstvene funkcije za escapeovanje bolje je da koristiš stvari koje ti PHP i MySQL daju, pre svega mysql_real_escape_string.
- Imati neku prepare funkciju nije nimalo loša stvar. Spašava glavu jer ne moraš da razmišljaš o escapevoanju, samo korstiš gotovu funkciju. Ono što ja koristim je ušnirano na par nivoa pa je jako teško izvući konkretan kod, ali bi izgledalo nešto ovakvo:
PHP kôd:
<?php
function prepare_string() {
$arguments = func_get_args();
if(is_array($arguments) && count($arguments) > 0) {
$sql = array_shift($arguments);
foreach($arguments as $argument) {
$sql = str_replace_first('?', "'" . mysql_real_escape_string($argument) . "'", $sql);
} // foreach
return $sql;
} // if
return false;
} // prepare_string
function str_replace_first($search_for, $replace_with, $in) {
$pos = strpos($in, $search_for);
if($pos === false) {
return $in;
} else {
return substr($in, 0, $pos) . $replace_with . substr($in, $pos + strlen($search_for), strlen($in));
} // if
} // str_replace_first
print prepare_string("SELECT * FROM users WHERE id = ?", 12) . '<br />';
print prepare_string("SELECT * FROM users WHERE id = ? AND name = ?", 12, 'Ilija') . '<br />';
print prepare_string("SELECT * FROM users WHERE id = ? AND name = ?", 12, 'Now with \ slash') . '<br />';
?>
Output:
Kôd:
SELECT * FROM users WHERE id = '12'
SELECT * FROM users WHERE id = '12' AND name = 'Ilija'
SELECT * FROM users WHERE id = '12' AND name = 'Now with \\ slash'
Možemo se ovde još igrati (npr, meni spremi i nizova za IN, prepoznaje neke moje tipove kao DateTime objekte itd), ali poenta je jednostavna i ovo je dovoljno za većinu stvari.
Citat:
Originalno napisao LiquidBrain
To plus regularni izrazi da se uverim da neko nije pokushao neshto... Ako jeste odma logujem IP :)
|
Mudro! Sad mi reci šta konkretno imaš od toga? ;) |
| LiquidBrain |
13. 10. 2006. 18:12 |
Citat:
Originalno napisao Ilija Studen
Mudro! Sad mi reci šta konkretno imaš od toga? ;)
|
Pa ukoliko dodje do kompromisovanja baze, eventualno cu da imam IP (sem ukoliko ne ide preko proksija) A btw, logujem ceo query, tako da ukoliko imam propust, mogu da ispravim odmah, jer znam gde je :) |
| Vreme je GMT +2. Trenutno vreme je 20:07. |
|
Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.
Mišljenja, saveti, izjave, ponude ili druge informacije ili sadržaji nastali na Sajtu su vlasništvo onoga ko ih je kreirao, a ne DevProTalk.com, tako da ne morate da se oslanjate na njih.
Autori poruka su jedini odgovorni za ovakve sadržaje. DevProTalk.com ne garantuje tačnost, kompletnost ili upotrebnu vrednost informacija, stavova, saveta ili datih izjava. Ne postoje uslovi pod kojima bi mi bili odgovorni za štetu ili gubitak koji je posledica bilo čijeg oslanjanja na nepouzdane informacije, ili bilo kakve informacije nastale kroz komunikaciju između registrovanih članova.Web sajt može sadržavati linkove na druge web sajtove na Internetu ili neke druge sadržaje. Ne kontrolišemo niti podržavamo te druge web sajtove, niti smo pregledali bilo kakve sadržaje na takvim sajtovima. Mi nećemo biti odgovorni za legalnost, tačnost ili prikladnost bilo kog sadržaja, oglasa, proizvoda, usluga ili informacije lociranim na ili distribuiranih kroz druge web sajtove, niti za bilo kakvu štetu nastalu kao posledica takvih informacija. DevProTalk.com drži i čuva druga prava vlasništva na web sajtu. Web sajt sadrže materijale zaštićene copyright-om, zaštitne znakove i druge informacije o pravu vlasništva ili softver. Članovi mogu poslatu informacije zaštićene pravima vlasništva njihovih nosilaca i ona ostaju zaštićena bez obzira da li su oni koji prenose te informacije to naveli ili ne. Osim informacija koje su u javnom vlasništvu ili za koje dobijete dozvolu, nemate pravo da kopirate, modifikujete ili na bilo koji način menjate, objavljujete, prenosite, distribuirate, izvršavate, prikazujete ili prodajte bilo koju informaciju zaštićenu pravima vlasništva. Slanjem informacija ili sadržaja na bilo koji deo DevProTalk.com, Vi automatski dozvoljavate i predstavljate garanciju da imate pravo da dozvolite DevProTalk.com ili članovima DevProTalk.com bespovratnu, kontinualnu, neograničenu, globalnu dozvolu da koriste, kopiraju, izvršavaju, prikazuju i distribuiraju takve informacije i sadržaje i da iz takvih sadžaja koriste bilo koji deo u bilo koje svrhe, kao i pravo i dozvolu da koriste gore navedene sadržaje. Svi zaštitni znakovi (trademarks), logotipi, oznake usluga, firme ili imena proizvoda koji se pominju na ovom web sajtu su vlasništvo kojim raspolažu njihovi vlasnici.
