Bezmoc, prázdné proměnné v PHP

14. 4. 2016 10:42:25

Zkus sem vypsat celý řetězec, který se posílá do DB. Tedy již s nahrazenými proměnnými za konkrétní data.

Moje tipy:

- špatně napsaný název tabulky, sloupců

- v předaných datech, která jsou neošetřená, je znak, který ti ukončuje nastavovanou hodnotu jedné z proměnných

Případně sem napiš kód chyby nebo celou chybovou hlášku. Něco ta databáze na tento dotaz určitě vrátí.

14. 4. 2016 10:42:25

https://webtrh.cz/diskuse/bezmoc-prazdne-promenne-v-php#reply1189528

tomve

(22 hodnocení)

14. 4. 2016 11:11:11

Pokud je to PDO (http://wiki.hashphp.org/PDO_Tutorial_for_MySQL_Developers):

$db->query() = určeno hlavně pro čtení dat z db s pevnými parametry, sice lze narvat proměnne, ale hrozí sql injection + ty apostrofy a escapace (sice expert Aleš Jiříček by měl kécy, ale nevidím ho zde) jsou kapek mimo - apostrofy " v php pro sql ruší řetězec. (Osobně jsem v mysql_query psal SET abc = ' ".$abc." ' (bez mezer, jednoduchý je vkladání hodnoty a double je pro aktivní proměnnou) a vždy jelo. <-- pokud to není pdo, tak to bude v tomto.)

Pro práci s proměnnými s db v PDO je určen

$sql = $db->prepare(dotaz)

$sql->execute(array("hodnoty"))

Nehrozí sql injection, pač si to pdo samo ošetří.

I názvy těch POST poli jsou mi proti srsti, radši

---------- Post added 14.04.2016 at 11:22 ----------

Kdyby to bylo fakt PDO, tak ti tam chybí $sql->execute();

Ale takhle člověk neví, co to je.

14. 4. 2016 11:11:11

https://webtrh.cz/diskuse/bezmoc-prazdne-promenne-v-php#reply1189527

Martin Schlemmer

(36 hodnocení)

14. 4. 2016 11:51:25

1. Zapni si chybové hlášky včetně notices, řeknou ti, když proměnná neexistuje.

2. Obligátní připomínka: Kód není zabezpečený vůči SQL injection.

14. 4. 2016 11:51:25

https://webtrh.cz/diskuse/bezmoc-prazdne-promenne-v-php#reply1189526

14. 4. 2016 11:52:54

Ne fakt nejaka zahada a fakt nevim, kde uz co menit.

Vypsane SQL je OK. Hodnoty jsou vsechny spravne, jen to proste vklada jen prazdny retezec. A kdyz si ho pred dotazem vypisu pro kontrolu, je v nem obsah. Sloupce nastaveny v DB take spravne. Nevim..

Bezpecnost kodu me netrapi, je to takova moje vecicka na localhostu, nikdo k tomu nikdy pristup mit nebude.

Ono je to proste tak, ze tam propisuje porad prazdnej retezec...

Prece neni mozny vypsat promennou s obsahem, aby o radek nize byla ukladana jako prazdnej retezec, kydz v ni je evidentne obsah :/

EDIT: tak to bude pruser uplne nekde jinde, protoze nezapisuje jedinou promennou prevzatou z $_POST - ta promenna ale existuje a je naplnena. Jakmile ji ale predam k vypisu, tak se vypise. Jakmile ji predam SQL dotazu, ten zapise prazdny retezec, i kdyz po vypsani celeho SQL ma spravny obsah vcetne promenne.

14. 4. 2016 11:52:54

https://webtrh.cz/diskuse/bezmoc-prazdne-promenne-v-php#reply1189525

Pivel

14. 4. 2016 12:34:20

Možná to bude znít jako pitomost, ale zkontroluj si v databázi, že sloupce mají správný typ... občas rychle dělám tabulku a omylem nechám někde int místo varcharu a když do toho pošlu znaky tak mi to tam logicky nacpe nuly...

14. 4. 2016 12:34:20

https://webtrh.cz/diskuse/bezmoc-prazdne-promenne-v-php#reply1189524

14. 4. 2016 12:41:22

Napsal Pivel;1284805
Možná to bude znít jako pitomost, ale zkontroluj si v databázi, že sloupce mají správný typ... občas rychle dělám tabulku a omylem nechám někde int místo varcharu a když do toho pošlu znaky tak mi to tam logicky nacpe nuly...

Kdepak, to jsou prvni veci, ktery kontroluji. Tam to necpe, jsou to retezce varchar a zustavaji prazdne.

14. 4. 2016 12:41:22

https://webtrh.cz/diskuse/bezmoc-prazdne-promenne-v-php#reply1189523

14. 4. 2016 12:53:39

Tohle prece neni ani logicky mozny!

print_r($_POST); //naplneno OK

for ($i = 13; $i <= 24; $i++) {

$priceNew = $_POST; //***

$termNew = $_POST ; //***//***

echo $priceNew . '-' . $termNew; //OK, opet napleneno spravne

$sql2 = $db->query("UPDATE " . TABLE . " SET price = "$priceNew", term = "$termNew" WHERE id = "$i""); //a nic se nestane

*** az kdyz promennou zretezim treba takto $termNew = $_POST .5; tak se zapise to posledni cislo, nyni 5

}

14. 4. 2016 12:53:39

https://webtrh.cz/diskuse/bezmoc-prazdne-promenne-v-php#reply1189522

Lukáš Oreška

14. 4. 2016 13:43:46

Co ti vypíše?

14. 4. 2016 13:43:46

https://webtrh.cz/diskuse/bezmoc-prazdne-promenne-v-php#reply1189521

14. 4. 2016 13:51:21

Napsal vytvorweb.cz;1284821
Co ti vypíše?
echo "UPDATE " . TABLE . " SET price = "$priceNew", term = "$termNew" WHERE id = "$i"";

UPDATE pricelist SET price = "1990", term = "duben" WHERE id = 1

Treba toto

14. 4. 2016 13:51:21

https://webtrh.cz/diskuse/bezmoc-prazdne-promenne-v-php#reply1189520

Lukáš Oreška

14. 4. 2016 13:57:19

Takže to vypadá, že SQL dotaz je v pořádku. Zbývá tedy zjistit:

- co dělá funkce $db->query(), nedělá nějaký ošetření SQL dotazu?

- jaký typ mají sloupce price a term?

- není nad tabulkou nějaký zapomenutý unikátní index? (price, term)

- co udělá dotaz v phpmyadminu?

14. 4. 2016 13:57:19

https://webtrh.cz/diskuse/bezmoc-prazdne-promenne-v-php#reply1189519

Smazany ucet 253