| Autor | Zpráva | ||
|---|---|---|---|
| Kill Profil |
#1 · Zasláno: 17. 5. 2013, 17:39:08
Dobrý den,
dělám stránky s databází, je to jen projekt do školy, ale učitel po mě chce SQL injection a mě prostě vše, co jsem kdekoliv našla nefunguje :( Zkoušela jsem: $val1 = mysqli_real_escape_string($link, $_POST["va1"]); to mi nefunguje, protože používám mysql, ne mysql, tady jsem nasla: $val = mysql_real_escape_string(htmlspecialchars($_POST["val"])) a to nevím proč nefunguje. Pokud musím dotaz upřesnit, tak kdyžtak otázku jak pro vola, fakt tomu nerozumim :( |
||
| Joker Profil |
#2 · Zasláno: 17. 5. 2013, 17:41:44
Kill:
„a to nevím proč nefunguje.“ To by mělo fungovat. Nejspíš tam máte navíc to htmlspecialchars. |
||
| Kill Profil |
#3 · Zasláno: 17. 5. 2013, 17:53:02
Joker:
Mám tam přesně tohle: $nazev = mysql_real_escape_string($_POST['Nazev_knihy']); a nefunguje to... Když chci uložit název, tak se mi uloží jako prázdný |
||
| pcmanik Profil |
#4 · Zasláno: 17. 5. 2013, 18:00:10
Kill:
A vo formuláry je určite políčko s názvom Nazev_knihy? Resp. Je v tom poste to čo očakávaš? |
||
| Kill Profil |
#5 · Zasláno: 17. 5. 2013, 18:03:50
pcmanik:
Ano, bez toho mysql_real_escape_string to funguje úplně normálně. |
||
| Enko Profil * |
#6 · Zasláno: 17. 5. 2013, 18:13:54
Před voláním mysql_real_escape_string() musíš být připojená k databázi. Zkus se naučit spíš dělat v PDO než používat toto.
|
||
| Kill Profil |
#7 · Zasláno: 17. 5. 2013, 18:20:04
Takže to nejde takhle nějak lehce obejít? Budu muset změnit příkaz u INSERT?
|
||
| Petr ZZZ Profil |
#8 · Zasláno: 17. 5. 2013, 22:22:42
Reaguji na Kill:
„protože používám mysql, ne mysql,“ Oprav si prosím tuto větu, aby dávala smysl, a já se odtud potom smažu. |
||
| Jan Tvrdík Profil |
#9 · Zasláno: 17. 5. 2013, 22:32:26
Kill:
Zkus dát dohromady celý kód, který ti nefunguje, a my ti poradíme. |
||
|
Časová prodleva: 11 let
|
|||
0