Skocz do zawartości
Zaloguj się, aby obserwować  
marmat00

Bardzo wielka prośba (php)

Polecane posty

Potrzebuję w ciągu godziny działający skrypt. Czy poprawi ktoś go (będę bardzo wdzięczny)

 

 <?php
$link = mysql_connect("localhost", "root", "root")
or die("Nie udało się połączyć: " . mysql_error());
 mysql_select_db('test', $link)
or die ( mysql_error());

     	$sql = "INSERT INTO test
               	(1,
               	2,
               	3,
               	4,
               	5,
               	6,
               	7,
               	8,
               	9,
               	10
               	)
             	VALUES
               	('" . $_GET['1'] . "',
               	'" . $_GET['2'] . "',
               	'" . $_GET['3'] . "',
               	'" . $_GET['4'] . "',
               	'" . $_GET['5'] . "',
               	'" . $_GET['6'] . "',
               	'" . $_GET['7'] . "',
               	'" . $_GET['8'] . "',
               	'" . $_GET['9'] . "',
               	'" . $_GET['10'] . "')";



$result = mysql_query($sql)
 	or die("Niepoprawne zapytanie: " . mysql_error());


?>

 

i wywala takie coś:

Niepoprawne zapytanie: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '1, 2, 3, 4, ' at line 2

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Daj liczby 1,2,3 itp. w ``.

 

Ten skrypt to jakaś porażka ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Wiem potrzebuję go na szybko:

 

 

<form action="test2.php?1=2=3=4=5=6=7=8=9=10=" method="get">

<CENTER>

<TABLE border="1" color=>

<TR>

<TD>xx</TD>

<TD><input type="text" name='1"></TD>

</TR>

<TR>

<TD>xx</TD>

<TD><input type="text" name="2"></TD>

</TR>

 

<TR>

<TD>xx</TD>

<TD><input type="text" name="3"></TD>

</TR>

<TR>

<TD>xx</TD>

<TD><input type="text" name="4"></TD>

</TR>

 

<TR>

<TD>xx</TD>

<TD><input type="text" name="5"></TD>

</TR>

 

<TR>

<TD>xxs</TD>

<TD><input type="text" name="6"></TD>

</TR>

 

 

<TR>

<TD>xx</TD>

<TD><input type="text" name="7"></TD>

</TR>

 

 

<TR>

<TD>xx</TD>

<TD><input type="text" name="8"></TD>

</TR>

 

<TR>

<TD>xx</TD>

<TD><input type="text" name="9"></TD>

</TR>

 

<TR>

<TD>xx</TD>

<TD><input type="text" name="10"></TD>

</TR>

 

</TABLE>

 

 

 

 

<TD><input type="submit" value="Wyślij">

</TD>

 

</form>

 

</CENTER>

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Co to w ogóle ma być za nonszalancja? Jak toto coś ma działać? Chcesz, by działał, a nie napisałeś jak.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

wpisujesz pola w formularzu, zawartość jest przesyłana metodą GET do test2.php i wstawiana do MySQL.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

A po h... przepisujesz ze zmiennej $_POST do zmiennych jeżeli z tym nic nie robisz ?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

w $zapytanie ???? czy gdzie bo nie rozumiem

 

Chodzi mi o wszystkie: $Id = $_POST['Id'];

 

Przecież przy INSERCIE możesz użyć $_POST['Id'], apostrofy nic nie dadzą bo i tak rekord się nie dopisze, bo kolumny są Decimal. Generalnie ten skrypt to kiszka.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
bo kolumny są Decimal
więc śmiało jako podstawową formę (i raczej wystarczającą) filtracji wystarczy użyć intval(); :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie muszę być Twoim klientem, by czytać opinie innych ludzi, po wypowiedziach których widzę, że są specjalistami w tym, co robią, a na każdym kroku wytykają Ci dziecinne błędy. Tego nie zaprzeczysz. :)

 

Nie muszę być również Twoim klientem, by wyrobić sobie zdanie o Tobie.

 

I wreszcie: to publiczne forum, więc mogę pisać o wszystkim i o wszystkich, a takie prośby, które w oczy kolą, na nic się nie zdają dopóki Cię nie obrażam lub nie atakuję słownie.

A Twój opryskliwy ton, w stosunku do mojej nieprzychylnej opinii o Tobie, tylko utwierdza mnie w przekonaniu słuszności moich osądów nt. Twojej osoby. :)

 

I tak nawiasem już: mam ten luz, że nie prowadzę żadnego hostingu ( bo się nie znam i nie chcę), że nie zarzucisz mi atakowania konkurencji. :)

 

Pozdrawiam i więcej luzu. Widziałem, że życie Cię nie oszczędza, więc poniekąd rozumiem Twoją agresję, ale życzę pogody ducha na każdy dzień.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
a miałeś u mnie usługi, że piszesz banialuki ?

Nie trzeba mieć było u ciebie usług, żeby stwierdzić, jak baardzo mocno stawiasz na szeroko pojęte bezpieczeństwo. Chociażby wspominany kiedyś twój "posiadający dziury w sofcie" switch :)

Tak samo tutaj. Jak już pisać kod, to można by zapewnić jakiś chociażby prymitywny poziom.

A tak na koniec - to prościej chyba by było wykorzystać PDO z bindowaniem parametrów/wartości.

Kod niewiele dłuższy, a za to znacznie ładniejszy i bezpieczniejszy :)

 

PS: O ile sytuacji, w której podsyłasz niezabezpieczone posty do query, to jeszcze może by uszło, ale w połączeniu z kodem mysql_query($zapytanie) or die(mysql_error()); to cóż. Każde dziecko zrobi bardzo ładny sql injection dochodząc w miarę szybko do pełnej struktury bazy.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Serwer shared był bezpieczny, ba nawet bezpieczniejszy od serwerów shared (XXX firmy znanej wszystkim nie powiem jakiej) co potwierdził mi pewien ktoś na gg po testach.
Atak jakiejś firmy nie jest dobrym pomysłem na obronę.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Kod na pewno nie na poziomie osoby, która w stopce ma link do panelu kontroli serwerów gier...

Czasami lepiej nie pisać nic niż pisać na takim poziomie. W dodatku szybciej byłoby bez tych niepotrzebnych zmiennych, tak jak napisał regdos.

 

Poza tym MySQL nie ma typu number.

 

Ogólnie nie widzę sensu wstawiania takich kodów na forum, jeszcze ktoś skopiuje i będzie wesoło :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×