Jak předat proměnnou do mysql příkazu?

ja bych to zkusil obejit takto :

$user = $_POST['user'];
$data = mysql_query("SELECT * FROM tabulka WHERE nick LIKE '$user'") or die ("Nepovedlo se provést databázový dotaz1.");

Jean

Jde to uplne jednoduse
$data = mysql_query("SELECT * FROM tabulka WHERE nick LIKE '".$_POST['user']."'")

Musis pouzit operator na spojovani retezcu, coz je '.'. Prip. novou promennou, viz Wertrik.

dělá se to takhle:

$data = mysql_query("SELECT * FROM tabulka WHERE nick LIKE  '{$_POST['user']}' ") or die ("Nepovedlo se provést databázový dotaz1.");

ALE!!!!
POKUD TO CHCEŠ POUŽÍT MUSÍŠ SI NEJPRVE SKONTROLOVAT ŽE V TOM POSTU NENÍ NIC NEBEZPEČNÉHO
například:

if(!empty($_POST['user']))   //kontrola že není proměnná prázdná->isset jen zjistí jestli existuje,empty jestli existuje a nerovná se prázdné

   {

       //tady si ošetři na povolené hodnoty

       //teprve pokud bude v pořádku tak ji použij na dotaz do db

       //jo a asi nejlepší volba by mohla vypadat takhle(dle wertíka)

      $user=""; //vynulovat

      $user=$_POST['user']; //předat

      if($user==tady si to zvaliduj podle potřeb)

        {

             //je to v pořádku

             if($data=mysql_query("SELECT * FROM tabulka WHERE nick LIKE  '{$user}' "))

               {

                      //dotaz se povedl zvaliduj co ti vypadlo

               }

             else

               {

                      //dotaz se nepovedl: podle typu nasazení vyhod co se stalo

                      //třeba si vytvoř funkci která ti bude podle nastavení vyhazovat chyby 

                      //neutrální pro provoz, a s detaily pro testy

                }

       }

      else

       {

           vyhod nějakou chybu 

        }

krteczek

krteczek

Jojo, to je samozrejme 100% pravda. Jen me to po ranu netrklo.

Zvlast u db je na to potreba davat bacha.

mmj. nejlepší jsou funkce typu postVar() apod. víc na http://continuer.nfo.sk/magic_quotes-aneb-jak-na-ne/

Jean

If myslis hlidani pomoci javascriptu, tak to rozhodne neni bezpecne.

To nejak nechapu. Pokud hlidas promennou $_POST['user'], tak ji pomoci php testujes az na serveru, takze nevim co myslis tou simulaci $_POST.

"otazka je prosta, da se nainjectovat promenna ve formatu $_POST["neco"]?"

Urcite, stejne snadno jako promenna $_GET["neco"], slysel jste neco o formulari? Leo

Jean

Nejlepsi je vzdy otestovat vsechny vstupni udaje. Protoze lidi jsou svine :-)

$_POST["neco"] se myslím nedá nastavit jinak než posláním metodou POST. Třeba index.php?_POST[neco]=neco proměnnou $_POST['něco'] nevytvoří, ani při zapnutých register_globals, jestli otázka byla myšlena takto.

je to myšleno tak že nemusí být tím klientem prohlížeč, ale třeba nějaký skript a odeslat get jako post a opačně není problém, protlačit do skrytých a needitovatelných polí své proměnné také ne. a že se mi to nepodaří z tvé stránky? mužu udelat stejný formulář jinde s tím že všechny hodnoty budu moct zadat podle libosti a tvá kontrola javaskriptem ti bude k ničemu ( jde ho taky vypnout ). Prostě pokud někdo bude mít chut se tvým skriptum kouknout na zoubek ( důvody není důležitý důležitá je chuť ), tak to udělá, a je jen na tobě jestli jsi pamatoval na takovou možnost, a bránil se dopředu. ono mít smazanou/změněnou db kvuli pitomě ošetřenému vstupu nasere... a někdy to i bolí ...To když člověk bije hlavou o zed .-)
kkrteczek

Jean

Nejak nechapu proc se na to ptas, prece neni problem udelat formular, ktery bude mirit na http://tvuj.server.neco/index.php a metodou POST ti tam ty data narve (jak psal Leo).

je to myšleno tak že nemusí být tím klientem prohlížeč, ale třeba nějaký skript a odeslat get jako post a opačně není problém, protlačit do skrytých a needitovatelných polí své proměnné také ne. a že se mi to nepodaří z tvé stránky? mužu udelat stejný formulář jinde s tím že všechny hodnoty budu moct zadat podle libosti a tvá kontrola javaskriptem ti bude k ničemu ( jde ho taky vypnout ). Prostě pokud někdo bude mít chut se tvým skriptum kouknout na zoubek ( důvody není důležitý důležitá je chuť ), tak to udělá, a je jen na tobě jestli jsi pamatoval na takovou možnost, a bránil se dopředu. ono mít smazanou/změněnou db kvuli pitomě ošetřenému vstupu nasere... a někdy to i bolí ...To když člověk bije hlavou o zed .-)
kkrteczek

tak to musim oponovat, je problem odeslat pozadavakek na server tak aby byla naplnena promena $_POST["neco"], ja to musel vyresit funkci fsocketopen, nebo nejak tak. Byl to skaredy kod.

Nejak nechapu proc se na to ptas, prece neni problem udelat formular, ktery bude mirit na http://tvuj.server.neco/index.php a metodou POST ti tam ty data narve (jak psal Leo).

Ak kontroluje referer, tak mozes ist vies kam s formularmy... ;))

"Ak kontroluje referer, tak mozes ist vies kam s formularmy... ;))"

Vazne si myslite, ze referer nejde podvrhnout? Netvrdim, ze ve statickem HTML, ale v PHP vam to napisu za chvilku. Leo

Leo

Treba vediet sa ochranit... Referer je len jedna z moznosti... Najlespie je, nikoho neinformovat o tvojom zdrojaku :)) ani o ziadnej jeho casti.

Anonymní: no a jsme zase u toho. není bezpečne to, co je neznámé, jen je to trošku obtížnější se tomu dostat na zoubek.
v každém případě je třeba pamatovat i na tu nejméně pravděpodobnou variantu a skripty chránit.
krteczek