PHP & INSERT INTO mySQL ne radi :(

LiquidBrain · 15. 09. 2006.

Pozdrav ljudi, eto da i ja imam jedan problem pa mi treba mala pomoc

Problem je u sledecem:

Kôd:

	$query = "INSERT INTO Client (fname, lname, email, address, tel, country, zip)
	 VALUES ($custom_First_Name, $custom_Last_Name, $from, $custom_Address,
		$custom_Phone_Number, $custom_Country, intval($custom_Post_Code)";

	$result = mysql_query($query) or die(mysql_error());

jednostavno nece da upishe podatke u tabelu

nije problem oko dozvola jer user koji se konektuje na bazu ima sve privilegije. A i sem toga cudno mi je jer SELECT query radi bez problema.
A shto je najveci problem ne vraca nikakav error. Zbunjen sam skrozz

Da li znate shta bi mogao da bude problem, poshto mi je to veoma neophodno, a nece da radi.

Unapred hvala.

BluesRocker · 15. 09. 2006.

Može biti da imaš više polja u tabeli nego što si uključio u query.

dinke · 15. 09. 2006.

Pa nije ni cudo da ti ne radi kad nisi stavio nijdno string polje unutar navodnika. Dakle, treba:

Kôd:

$query = "INSERT INTO Client (fname, lname, email, address, tel, country, zip)
	 VALUES ('$custom_First_Name', '$custom_Last_Name', '$from', '$custom_Address',
		'$custom_Phone_Number', '$custom_Country', '$custom_Post_Code' ";

LiquidBrain · 15. 09. 2006.

Da, hvala. to je u sushtini bio problem.

jablan · 15. 09. 2006.

Samo pripazi šta će da se desi ako u samim vrednostima promenljivih imaš apostrof...

LiquidBrain · 15. 09. 2006.

Da znam, provereno vec

ako bude imalo onda je SQL injection

cvele · 13. 10. 2006.

Citat:

Originalno napisao LiquidBrain

Da znam, provereno vec

ako bude imalo onda je SQL injection

PHP kôd:


			
function escape_sql($text) {

    // return $text;

    $text = str_replace("\\", "\\\\", $text);

    return str_replace("'", "''", $text);

}



function escape_sql($string) {

  return get_magic_quotes_gpc() ? $string : addslashes($string);

}

i jos hiiiiiiljade varijanti

LiquidBrain · 13. 10. 2006.

To plus regularni izrazi da se uverim da neko nije pokushao neshto... Ako jeste odma logujem IP

Ilija Studen · 13. 10. 2006.

Samo par tipova, možda nekom bude koristilo:

Stripovanje slasheva treba odraditi odmah, negde u headeru. Samo stripovanje pri interakciji sa bazom može doveste da se (nepravilni) stringovi sa slashevima sačuvaju u neki drugi "izvor" (fajl, pošalju nekom web servisu or whatever). Strip odmah pa ni ne razmišljaš o tome.
Umesto da koristiš sopstvene funkcije za escapeovanje bolje je da koristiš stvari koje ti PHP i MySQL daju, pre svega mysql_real_escape_string.
Imati neku prepare funkciju nije nimalo loša stvar. Spašava glavu jer ne moraš da razmišljaš o escapevoanju, samo korstiš gotovu funkciju. Ono što ja koristim je ušnirano na par nivoa pa je jako teško izvući konkretan kod, ali bi izgledalo nešto ovakvo:

PHP kôd:


			
<?php

  function prepare_string() {
    $arguments = func_get_args();
    if(is_array($arguments) && count($arguments) > 0) {
      $sql = array_shift($arguments);
      foreach($arguments as $argument) {
        $sql = str_replace_first('?', "'" . mysql_real_escape_string($argument) . "'", $sql);
      } // foreach
      return $sql;
    } // if
    return false;
  } // prepare_string
  
  function str_replace_first($search_for, $replace_with, $in) {
    $pos = strpos($in, $search_for);
    if($pos === false) {
      return $in;
    } else {
      return substr($in, 0, $pos) . $replace_with . substr($in, $pos + strlen($search_for), strlen($in));
    } // if
  } // str_replace_first
  
  print prepare_string("SELECT * FROM users WHERE id = ?", 12) . '<br />';
  print prepare_string("SELECT * FROM users WHERE id = ? AND name = ?", 12, 'Ilija') . '<br />';
  print prepare_string("SELECT * FROM users WHERE id = ? AND name = ?", 12, 'Now with \ slash') . '<br />';

?>

Output:

Kôd:

SELECT * FROM users WHERE id = '12'
SELECT * FROM users WHERE id = '12' AND name = 'Ilija'
SELECT * FROM users WHERE id = '12' AND name = 'Now with \\ slash'

Možemo se ovde još igrati (npr, meni spremi i nizova za IN, prepoznaje neke moje tipove kao DateTime objekte itd), ali poenta je jednostavna i ovo je dovoljno za većinu stvari.

Citat:

Originalno napisao LiquidBrain

To plus regularni izrazi da se uverim da neko nije pokushao neshto... Ako jeste odma logujem IP

Mudro! Sad mi reci šta konkretno imaš od toga?

LiquidBrain · 13. 10. 2006.

Citat:

Originalno napisao Ilija Studen

Mudro! Sad mi reci šta konkretno imaš od toga?

Pa ukoliko dodje do kompromisovanja baze, eventualno cu da imam IP (sem ukoliko ne ide preko proksija) A btw, logujem ceo query, tako da ukoliko imam propust, mogu da ispravim odmah, jer znam gde je

15. 09. 2006.	#1
LiquidBrain Milan Cvejic Wrote a book Datum učlanjenja: 05.09.2006 Lokacija: Beograd Poruke: 1.241 Hvala: 32 73 "Hvala" u 56 poruka	PHP & INSERT INTO mySQL ne radi :( Pozdrav ljudi, eto da i ja imam jedan problem pa mi treba mala pomoc Problem je u sledecem: Kôd: $query = "INSERT INTO Client (fname, lname, email, address, tel, country, zip) VALUES ($custom_First_Name, $custom_Last_Name, $from, $custom_Address, $custom_Phone_Number, $custom_Country, intval($custom_Post_Code)"; $result = mysql_query($query) or die(mysql_error()); jednostavno nece da upishe podatke u tabelu nije problem oko dozvola jer user koji se konektuje na bazu ima sve privilegije. A i sem toga cudno mi je jer SELECT query radi bez problema. A shto je najveci problem ne vraca nikakav error. Zbunjen sam skrozz Da li znate shta bi mogao da bude problem, poshto mi je to veoma neophodno, a nece da radi. Unapred hvala. __________________ http://weevify.com

15. 09. 2006.	#3
dinke Super Moderator Invented the damn thing Datum učlanjenja: 06.06.2005 Poruke: 2.371 Hvala: 370 701 "Hvala" u 194 poruka	Pa nije ni cudo da ti ne radi kad nisi stavio nijdno string polje unutar navodnika. Dakle, treba: Kôd: $query = "INSERT INTO Client (fname, lname, email, address, tel, country, zip) VALUES ('$custom_First_Name', '$custom_Last_Name', '$from', '$custom_Address', '$custom_Phone_Number', '$custom_Country', '$custom_Post_Code' "; __________________ Caught in a Web\|Blogodak With great power comes great responsibility!

15. 09. 2006.	#4
LiquidBrain Milan Cvejic Wrote a book Datum učlanjenja: 05.09.2006 Lokacija: Beograd Poruke: 1.241 Hvala: 32 73 "Hvala" u 56 poruka	Da, hvala. to je u sushtini bio problem. __________________ http://weevify.com

15. 09. 2006.	#6
LiquidBrain Milan Cvejic Wrote a book Datum učlanjenja: 05.09.2006 Lokacija: Beograd Poruke: 1.241 Hvala: 32 73 "Hvala" u 56 poruka	Da znam, provereno vec ako bude imalo onda je SQL injection __________________ http://weevify.com

13. 10. 2006.	#8
LiquidBrain Milan Cvejic Wrote a book Datum učlanjenja: 05.09.2006 Lokacija: Beograd Poruke: 1.241 Hvala: 32 73 "Hvala" u 56 poruka	To plus regularni izrazi da se uverim da neko nije pokushao neshto... Ako jeste odma logujem IP __________________ http://weevify.com

15. 09. 2006.	#2
BluesRocker profesionalac Professional Datum učlanjenja: 21.06.2005 Poruke: 294 Hvala: 93 525 "Hvala" u 19 poruka	Može biti da imaš više polja u tabeli nego što si uključio u query.

15. 09. 2006.	#5
jablan VD IT Direktora Invented the damn thing Datum učlanjenja: 08.06.2005 Lokacija: Beograd Poruke: 2.118 Hvala: 503 1.307 "Hvala" u 282 poruka	Samo pripazi šta će da se desi ako u samim vrednostima promenljivih imaš apostrof...

Alati teme
Pogledajte verziju za štampanje Pošaljite email-om ovu stranu
Način prikaza
Linearni prikaz Prebacite u hibridni prikaz Prebacite u prikaz po temama

Slične teme
Tema	Početna poruka teme	Forum	Odgovori	Poslednja poruka
MySQL - istovremeni insert u tri povezane tabele koje imaju autoincrement	Igor Manjenčić	SQL baze podataka - Sponzor: Baze-Podataka.net	4	14. 12. 2010. 08:35
Access 2007 - Kako izvrsiti insert u vise tabela	destinyExplorer	SQL baze podataka - Sponzor: Baze-Podataka.net	0	27. 04. 2009. 13:39
cookies radi/ne radi	Marko_	Sva početnička pitanja	6	18. 10. 2007. 21:30
CSS bug u IE, repaint ne radi	ivanhoe	(X)HTML, JavaScript, DHTML, XML, CSS	2	04. 04. 2007. 15:02
Problem sa update, insert, delete	celawi	Programiranje	1	11. 03. 2007. 02:13