Diskuse JPW: Chyba v MySQL, nemůžu najít

	Autor	Zpráva
	shooow Profil	#1 · Zasláno: 22. 10. 2013, 21:25:04 · Upravil/a: Moderátor (editace znemožněna) 22. 10. 2013, 22:43:09 Odpovědět Citovat Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ' Nědokáži chybu identifikovat, počítám že formulář ad. kód je zbytečný postovat. if(isset($_GET["akce"]) && ($_GET["akce"] == "edit")) { $updn = "UPDATE novinky SET perex = ".$_POST["perex"].", obsah = ".$_POST["obsah"]." WHERE id = ".$_GET["id"]." "; mysql_real_escape_string($updn); if (!mysql_query($updn)) { die('Error: ' . mysql_error()); } echo "<meta http-equiv='refresh' content='1;url=./admin.php'>\n"; } $sql = mysql_query("SELECT * FROM novinky WHERE id = ".$_GET["id"].""); while($vypis = mysql_fetch_array($sql)){ $nazev = $vypis['nazev']; $datum = date("d.m.Y H:i:s", $vypis['datum']); $autor = $vypis['autor']; $perex = $vypis['perex']; $obsah = $vypis['obsah']; }
	Tori Profil	#2 · Zasláno: 22. 10. 2013, 21:28:29 · Upravil/a: Tori o minutu později Odpovědět Citovat 1. V SQL dotazu chybí uvozovky nebo apostrofy okolo vkládaných řetězců. 2. Escapovat se musí jednotlivé ukládané řetězce zvlášť, nikoli celý SQL dotaz. 3. U výpisu chybí ochrana před SQL injection (intval nebo přetypování $_GET['id'] na číslo).
	shooow Profil	#3 · Zasláno: 22. 10. 2013, 22:32:40 · Upravil/a: Moderátor (editace znemožněna) o 11 minut později Odpovědět Citovat Tzn. že úprava viz. kód řeší problém ? Nebo kde je chyba v úpravě ? -> chyb. hláška stále stejná if(isset($_GET["akce"]) && ($_GET["akce"] == "edit")) { $updn = "UPDATE novinky SET perex = ".$_POST["perex"].", obsah = ".$_POST["obsah"]." WHERE id = ".$id." "; mysql_real_escape_string($perex); mysql_real_escape_string($obsah); mysql_real_escape_string($id); if (!mysql_query($updn)) { die('Error: ' . mysql_error()); } echo "<meta http-equiv='refresh' content='1;url=./admin.php'>\n"; }
	Kajman Profil	#4 · Zasláno: 22. 10. 2013, 22:45:59 Odpovědět Citovat $updn = "UPDATE novinky SET perex = '".mysql_real_escape_string($_POST["perex"])."', obsah = '".mysql_real_escape_string($_POST["obsah"])."' WHERE id = ".(int)$id;
	peta Profil	#5 · Zasláno: 24. 10. 2013, 08:16:00 · Upravil/a: peta o 2 minuty později Odpovědět Citovat Proc nepouzijes sprint_f? Zjednodusilo by ti to praci. $query = "UPDATE novinky SET perex = '%s', obsah = '%s' WHERE id = %s"; // Retezce se musi uzavirat do apostrofu, ze jo? Proc to nedelas... perex = ???".$_POST["perex"]."??? $query = sprint_f($query, mysql_real_escape_string($_POST["perex"]), mysql_real_escape_string($_POST["obsah"]), (int)$id); echo '<pre>'.$query.'</pre>'; // abys videl, co jsi vyplodil a kdyz ten prikaz nepujde spustit v phpmyadminovi, tak pravdepodobne ani ve tvem php programu.
		Časová prodleva: 11 let

Vaše odpověď

Mohlo by se hodit