Autor Zpráva
Kill
Profil
Dobrý den,

dělám stránky s databází, je to jen projekt do školy, ale učitel po mě chce SQL injection a mě prostě vše, co jsem kdekoliv našla nefunguje :(

Zkoušela jsem:
$val1 = mysqli_real_escape_string($link, $_POST["va1"]);

to mi nefunguje, protože používám mysql, ne mysql,

tady jsem nasla:
$val = mysql_real_escape_string(htmlspecialchars($_POST["val"]))

a to nevím proč nefunguje.

Pokud musím dotaz upřesnit, tak kdyžtak otázku jak pro vola, fakt tomu nerozumim :(
Joker
Profil
Kill:
a to nevím proč nefunguje.
To by mělo fungovat. Nejspíš tam máte navíc to htmlspecialchars.
Kill
Profil
Joker:

Mám tam přesně tohle:
$nazev = mysql_real_escape_string($_POST['Nazev_knihy']);

a nefunguje to...

Když chci uložit název, tak se mi uloží jako prázdný
pcmanik
Profil
Kill:
A vo formuláry je určite políčko s názvom Nazev_knihy? Resp. Je v tom poste to čo očakávaš?
Kill
Profil
pcmanik:

Ano, bez toho mysql_real_escape_string to funguje úplně normálně.
Enko
Profil *
Před voláním mysql_real_escape_string() musíš být připojená k databázi. Zkus se naučit spíš dělat v PDO než používat toto.
Kill
Profil
Takže to nejde takhle nějak lehce obejít? Budu muset změnit příkaz u INSERT?
Petr ZZZ
Profil
Reaguji na Kill:
„protože používám mysql, ne mysql,“
Oprav si prosím tuto větu, aby dávala smysl, a já se odtud potom smažu.
Jan Tvrdík
Profil
Kill:
Zkus dát dohromady celý kód, který ti nefunguje, a my ti poradíme.

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: