Autor Zpráva
pepa88
Profil
Dobry den chtěl bych se zeptat na nevim zrovna jestli na maličkost. Problem je takový, ze bych do jednoho sloupce v sql tabulce rad dostal víc údajů z formuláře. Takže třeba když bych mel ve formuláři jméno a příjmení zvlášt a v tabulce to chtěl dat do jednoho sloupce jak to tam tedy vložit do ty tabulky.
takže jakoby mam dva udaje
formular (čistě orientačně)
<input type="text" name="jmeno" value="">
<input type="text" name="prjmeni" value="">
a do tabulky bych to rad dal k sobe do jednoho sloupce
$radek="INSERT INTO clovek( složenina)
VALUES('".$_GET["jmeno"]."')"; a tady do toho value bych to potřeboval nějak poskládat aby se me tam vypsalo jmeno i prijmeni a nevim jak ty dva Gety zapsat. dekuju za jakoukoliv pomoct
pcmanik
Profil
Proste ich das vedla seba nejak takto
$radek="INSERT INTO clovek( složenina) VALUES ('".$_GET["jmeno"]."".$_GET["prijmeni"]."')";

Ale inak mas zly navrch tabulky, urcite toto tvoje riesenie nema zmysel.
Alphard
Profil
pepa88:
Spojit řetězec, stejně jako skládáte SQL dotaz. Obecně ale radši přidat sloupce, obrácený postup (dělení) je vždycky horší.

pepa88, pcmanik:
Za domácí úkol si najděte něco o SQL injection.
Keeehi
Profil
pcmanik:
Proč ty gety proboha spojuješ přes prázdný řetězec. Asi ti tam vypadla mezera, ale takto by to byla pitomost.
Jinak Alphard má pravdu, že pozdější spojování je lehčí než pozdější dělení. Takže rozhodně dva sloupce.

Alphard:
Když tu někomu radím, bezpečnost neřeším (pokud to není otázka na bezpečnost :) ). Ale je pravda, že se snažím k nabízenému řešení napsat, že zabezpečené není a je to potřeba dodělat.

Teoreticky by to mít ošetřené mohli, i když bych za to střílel. $_GET["jmeno"]=mysql_real_escape_string($_GET["jmeno"]);
Alphard
Profil
Keeehi:
Když tu někomu radím, bezpečnost neřeším
Zrovna mně to padlo do oka, jinak také vždycky nerýpu, to bych měl víc příspěvků než Chamurappi a Bubák dohromady...
Bohužel je tady toto nehezké sestavování dotazů hodně rozšířené, vzájemně odkazované a není cesty ven. Přitom si myslím, že používat parametrizované dotazy není o moc těžší, často spíš naopak, protože tam není třeba patlat uvozovky.
Jestli budu mít trochu času, sepíši pár příkladů do FAQ a podniknu mohutnou kampaň :-)

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: