PHP - proměná z formuláře jako hodnota selectu v sql dotazu

[ZAJDAN]

Ahoj,
snažím se sestrojit webovy searcher, ktery po zadani hodnoty do inputu zavola v php sql dotaz a echem vyhodi vysledek.
díky za každý srozumitelný nápad

[Reklama]

[tdvorak]

Zkus položit nějakou konkrétní otázku. Ukaž, že si se snažil a něco dal dohromady. Popiš chybu, na který si se zarazil. Prostě něco od čeho se dá odrazit. 

[j0hny]

Hodně zjednodušený proceduální postup by mohl vypadat nějak takhle. Samozřejmě v praxi budeš nejspíš chtít použít OOP a nějaký framework. (kód jsem netestoval, je to jen z hlavy)

Kód: [Vybrat]

<?php

if(isset($_POST['search_term'])) {
   // inicializujeme spojeni s db
   $pdo = new PDO($dsn, $username, $password);
   // nastavime promenou z formulare - neznam typ tvoji databaze, takze pro escapovani predpokladam mySql
   $term = mysql_real_escape_string($_POST['search_term']);
   // ziskame vysledek z db
   $result = $pdo->query("SELECT * FROM tabulka WHERE sloupec LIKE '%" . $term . "%'")->fetchAll();
   // vypiseme
   print_r($result);
} else {
?>

<form action="index.php" method="post">
   <input type="text" value="hledany vyraz" name="search_term" />
   <input type="submit" value="Hledat" name="submit" />
</form>

<?php
}
?>


[to_je_jedno]

Lidi, zapomente uz na ten podelanej escape_string!!! Kdyz uz nekomu radite, neradte takove hovadiny.
Na tohle jsou argumenty! PDO / DB si to osetri samo...

[UrielSVK]

Lidi, zapomente uz na ten podelanej escape_string!!! Kdyz uz nekomu radite, neradte takove hovadiny.
Na tohle jsou argumenty! PDO / DB si to osetri samo...

+1

mysql_real_escape_string sa da obist - http://stackoverflow.com/questions/5741187/sql-injection-that-gets-around-mysql-real-escape-string

Na taketo veci existuju prepared statements - http://php.net/manual/en/pdo.prepared-statements.php

[Reklama]

[Kas]

A pak třebas existuje Google a vlastní hlava, co ti pomůže najít dokumentaci k PDO a na lokálu si otestuješ možnost injection. Každopádně zkus chytřejší nástroje pro fulltext search, samotný MySQL ti moc efektivně nepomůže.

[omelkes]

Takto NE!
J0hny zhlavy napsal řešení pouze skoro dobře hlavní chyba je v těchto dvou řádcích

Kód: [Vybrat]

<?php

   // nastavime promenou z formulare - neznam typ tvoji databaze, takze pro escapovani predpokladam mySql
   $term = mysql_real_escape_string($_POST['search_term']);
   // ziskame vysledek z db
   $result = $pdo->query("SELECT * FROM tabulka WHERE sloupec LIKE '%" . $term . "%'")->fetchAll();


Špatné je používání mysql_ funkcí obecně, za a je to pouze pro mysql, a za bé občas nevracejí ideální výsledky. Navíc se míchají dvě různé databázové knihovny.

Srávně se to řeší pomocí prepared statement, takto:

Kód: [Vybrat]

<?php

   // připraví se dotaz
   $prepared= $pdo->prepare('SELECT * FROM table WHERE column LIKE :searchTerm');->fetchAll();
   // provede se dotaz
   $executed = $prepared->execute(array(':searchTerm' => '%'.$_POST['search_term'].'%'));
   // zisk výsledků
   $result = $executed->fetchAll();
Takto předávané parametry PDO ošetří samo (buď posláním jako parametry pro prepared statement, nebo z důvodů zpětné kompaktibility použitím escape funkce).
Používat tento způsob je tedy stejně bezpečný, navíc bývá rychlejší, databáze si prepared statement optimalizuje.

[Kolemjdoucí]

Lidi, zapomente uz na ten podelanej escape_string!!!

Začátečníci a amatéři by měli používat prepared statement, nasekají tak nejméně chyb.
Profesionál si napíše escapování tak, že funguje za všech okolností správně a ušetří tak roundrip na server.

Používat tento způsob je tedy stejně bezpečný, navíc bývá rychlejší, databáze si prepared statement optimalizuje.

Prepared statement použitý pouze jednou je pomalejší.

[ZAJDAN]

díky moc všem...už jsem byl hodně blízko, ale toto mi velmi pomohlo
by the way:
netušíte co způsobuje, že se PHP kod neprovede, ale browser jen zobrazí zdroják?...apache jede, jine php ze stejneho adresare se provedou v poradku....? hmmmm

[meno]

díky moc všem...už jsem byl hodně blízko, ale toto mi velmi pomohlo
by the way:
netušíte co způsobuje, že se PHP kod neprovede, ale browser jen zobrazí zdroják?...apache jede, jine php ze stejneho adresare se provedou v poradku....? hmmmm

nemas nejaku blbu koncovku / prava ? (ked ti ine idu z adresara)

[ZAJDAN]

nemas nejaku blbu koncovku / prava ? (ked ti ine idu z adresara)

*.php (uvnitr znacky <?php ...?>), prava stejna jako u jinych funkcnich

[Kit]

Začátečníci a amatéři by měli používat prepared statement, nasekají tak nejméně chyb.
Profesionál si napíše escapování tak, že funguje za všech okolností správně a ušetří tak roundrip na server.

Prepared statement použitý pouze jednou je pomalejší.

V knihovně PDO je defaultně nastaveno, že se escapuje obojí - prepared statements jsou pouze emulovány. Oba přístupy jsou tedy stejně rychlé, je tedy lepší používat prepared statements ve všech případech.

Pokud někdo chce mermomocí quotovat, PDO nabízí i instanční metodu quote(), která doplní i ty apostrofy kolem stringu.

[ZAJDAN]

problem byl ze se php kod neprovede z pristupu pres localhost, z venci ano

[tommm]

Pejsek a kocicka vari web?

[Pavouk106]

Pejsek a kocicka vari web?

Nejtrefnější komentář (zatím).

Je fakt, že ptát se na tohle furt dokola (resp. udělat z fora učebnici) je poněkud nestandardní... Lepší by bylo hodně testovat nebo hledat příklady na webu. Tyhle základy jsou na každym rohu. Teprve při problému vznést dotaz. Když nic jinýho, člověk se takhle něco naučí (hledat + používat to, co hledá).