| Autor | Zpráva | ||
|---|---|---|---|
| ivitek Profil * |
#1 · Zasláno: 25. 5. 2005, 22:40:41
Dobrý den, potřeboval bych poradit s dotazem na databázi MySQL... "INSERT blablabla VALUES ('$id', '$nadpis', atd...)" jak tam místo $nadpis šoupnout $_POST['nadpis'] at se ty uvozovky kombinujou jakkoliv hází to chyby.... vyresil jsem to prechodne tim ze pred pripojenim do databaze dam $nadpis = $_POST['nadpis']... da se to nejak udelat abych mohl napsat dotaz "INSERT blablabla VALUES ('$id', $_POST['nadpis'], atd...)"
|
||
| Dero Profil |
#2 · Zasláno: 25. 5. 2005, 22:42:23
Nejsem si jistý, také si přiřazuji do proměnné, ale mohlo by ... INSERT neconeco VALUES($id, '$_POST[neco]', ...).
|
||
| michaelkiller Profil |
#3 · Zasláno: 25. 5. 2005, 22:51:06
a co tak skusit '".$_POST['nadpis']."' ... ale to som si len teraz vymyslel, nerucim za to... Prvy je jednoduchy apostrof a potom uvodzovky, dalej bodka....nazov premennej a potom zrkadlovo bodka, uvodzovky a apostrof.
|
||
| Leo Profil |
#4 · Zasláno: 25. 5. 2005, 22:54:20
Ono byste predevsim nemel slepe vsechno, co prijde POSTem cpat bez kontroly do databaze, zabezpeceni neni v tom, ze misto $jmeno napisete $_POST['jmeno'], Leo
|
||
| ivitek Profil * |
#5 · Zasláno: 25. 5. 2005, 22:58:46
ad Dero - bez uvozovek mezi hranatymi zavorkami to nejde
ad michaelkiller - děkuji, ale neklaplo to... zkouším dále... |
||
| ivitek Profil * |
#6 · Zasláno: 25. 5. 2005, 23:01:06
takze to proste delat $nadpis = osetrit_data($_POST['nadpis']) - takhle to más smysl... BTW jediný kdo tam má právo vkládat jsem já takže já si tam nic škodlivého nevložím .-)
|
||
| ivitek Profil * |
#7 · Zasláno: 25. 5. 2005, 23:01:48
pak nemusim resit $_post[] v SQL dotazu...
|
||
| Leo Profil |
#8 · Zasláno: 25. 5. 2005, 23:04:34
"BTW jediný kdo tam má právo vkládat jsem já takže já si tam nic škodlivého nevložím .-)"
Opravdu? Chcete rict, ze nikdo jiny nemuze do prohlizece napsat adresu vaseho skriptu? Leo |
||
| printf Profil |
#9 · Zasláno: 26. 5. 2005, 00:10:52
vkládání polí do řetězců se dělá buď:
$promena = "neco ".$pole["klic"]." atd..."; nebo: $promena = "neco {$pole["klic"]} atd..."; vzhledem k tomu, že se jedná o sestavování dotazů do databáze, tak bych použil něco jako: $promena = "neco ".osetri($pole["klic"])." atd..."; kde funkce osetri zajistí odstranění různejch zlobivostí. |
||
| krteczek Profil |
#10 · Zasláno: 26. 5. 2005, 18:13:50 · Upravil/a: krteczek
tohle funguje:
tento zápis 100% funguje, ale jak bylo zde již řečeno není to nejbezpečnější, dycky je lepší předat serverovou proměnnou do normální proměnné, nejlíp takhle:
|
||
|
Časová prodleva: 19 let
|
|||
Toto téma je uzamčeno. Odpověď nelze zaslat.
0