Как я могу исправить свой код PHP для этого запроса SQL?

Question

Как я могу исправить свой код PHP для этого запроса SQL?

0

Я некоторое время занимался этим, и я почти там. Просто нужно пройти мимо этой стены, которую я ударил.

У меня есть следующие таблицы:

tracks (trackid, tracktitle, albumid, composerid)
albums (albumid, albumname)
composers (composerid, composername)

Я могу вставить новую запись через вкладку PhpMyAdmin SQL с помощью

INSERT INTO tracks (tracktitle, albumid, composerid) VALUES ('New Song', 1, 1);

и он отлично работает.

Моя PHP-форма, хотя и не делает то же самое, и я, должно быть, что-то пропустил. Пожалуйста, кто-нибудь может проверить код моей страницы addtrack и рассказать мне, что не так?

 if (isset($_POST['tracktitle'])): 
 // A new track has been entered
 // using the form.

 $cid= $_POST['cid'];
 $tracktitle = $_POST['tracktitle'];
 $albs = $_POST['albs'];

 if ($cid == '') {
 exit('<p>You must choose an composer for this track. 
 Click "Back" and try again.</p>');
  }

  $sql = "INSERT INTO tracks SET
  tracks.tracktitle='$tracktitle'" ;
  if (@mysql_query($sql)) {
  echo '<p>New track added</p>';
  } else {
  exit('<p>Error adding new track' . mysql_error() . '</p>');
  }

  $trackid = mysql_insert_id();

  if (isset($_POST['albs'])) {
   $albs = $_POST['albs'];
   } else {
   $albs = array();
   }

  $numAlbs = 0;
  foreach ($albs as $albID) {
  $sql = "INSERT IGNORE INTO tracks (trackid, albumid, 
  composerid) VALUES " . 
"($trackid, $albs, $cid)";

if ($ok) {
  $numAlbs = $numAlbs + 1;
} else {
  echo "<p>Error inserting track into album $albID: " .
      mysql_error() . '</p>';
}
}
 ?>

<p>Track was added to <?php echo $numAlbs; ?> albums.</p>

 <p><a href="<?php echo $_SERVER['PHP_SELF']; ?>">Add another 
 track</a></p>
 <p><a href="tracks.php">Return to track search</a></p>

 <?php
 else: // Allow the user to enter a new track

 $composers = @mysql_query('SELECT composerid, composername 
 FROM composers');
  if (!$composers) {
 exit('<p>Unable to obtain composer list from the 
database.</p>');
 }

$albs = @mysql_query('SELECT albumid, albumname FROM albums');
 if (!$albs) {
 exit('<p>Unable to obtain album list from the 
 database.</p>');
 }
 ?>

 <form action="<?php echo $_SERVER['PHP_SELF']; ?>" 
 method="post">
 <p>Enter the new track:<br />
 <textarea name="tracktitle" rows="1" cols="20">
 </textarea></p>
 <p>Composer:
 <select name="cid" size="1">
  <option selected value="">Select One</option>
  <option value="">---------</option> 
  <?php
   while ($composer= mysql_fetch_array($composers)) {
    $cid = $composer['composerid'];
    $cname = htmlspecialchars($composer['composername']);
    echo "<option value='$cid'>$cname</option>\n";
     }
    ?>
    </select></p>
    <p>Place in albums:<br />
   <?php
   while ($alb = mysql_fetch_array($albs)) {
    $aid = $alb['albumid'];
    $aname = htmlspecialchars($alb['albumname']);
     echo "<label><input type='checkbox' name='albs[]'
    value='$aid' />$aname</label><br />\n";
    }
   ?>

Как только я это отсортировал, я могу перейти к его расширению, а также решить проблемы безопасности. Кто-то здесь рекомендовал мне заглянуть в PDO, что для меня новое. Но одно препятствие за раз.

Спасибо

paj 29 нояб. 2010, в 22:54

Источник

0

Получаете ли вы сообщение об ошибке, и если да, что оно говорит? - РЕДАКТИРОВАТЬ: На самом деле, я вижу проблему сейчас.
Teekin 29 нояб. 2010, в 21:46
0

Вам также не хватает endif; в самом конце (открытие if: никогда не закрывается).
Yahel 29 нояб. 2010, в 21:48
0

Какую СУБД вы используете из любопытства?
Teekin 29 нояб. 2010, в 21:58
0

Спасибо за помощь. у меня действительно есть endif, но я не включил его в вышеперечисленное. Я только что процитировал основной кусок кода PHP. Хельги, я использую PHPMyAdmin. Я изменил код INSERT INTO / SET на то, что я должен был сделать (и на самом деле то, что я уже сделал в другом разделе - очевидно, пропустил это), но я получаю сообщение об ошибке «Ошибка добавления нового трека. Не удается добавить или обновить ребенок ряд: ограничение внешнего ключа не удается ( musicsearch . tracks , скованность tracks_ibfk_4 FOREIGN KEY ( albumid ) Лит albums ( albumid ) ON DELETE CASCADE)».
paj 30 нояб. 2010, в 07:12
0

My Relation View в MyPhpAdmin выглядит следующим образом ... trackid albumid 'musicsearch', 'columns', 'albumid' ON DELETE каскад ON UPDATE composerid 'musicsearch', 'composers', 'composerid' ON DELETE cascade ON UPDATE tracktitle Не указан индекс ! Я думаю, что что-то пропустил по пути.
paj 30 нояб. 2010, в 07:19

Показать ещё 3 комментария

Теги:

php

mysql

phpmyadmin

3 ответа

0

Мой предыдущий ответ был неправильным (и удален). Теперь я узнал, что синтаксис Insert действительно действителен.

Но то, что вы не делаете, это избежать значения, которое вы указали в запросе. Если $tracktitle содержит любые недопустимые символы, такие как одиночная цитата, это может сломать ваш запрос.

Вы должны добавить эту строку перед созданием запроса на вставку:

$tracktitle = mysql_real_escape_string($tracktitle);

Текущий код очень денгиру. Если бы я должен был вставить песню, и в названии песни я бы напечатал YourF... ed, oh, кстати '; drop database YourDataBaseName; вы должны попытаться представить, что произойдет.

Это называется SQL-инъекцией. Поскольку вы не правильно избегаете значения, кто-то еще может закрыть statment en, запустив новый оператор, просто вставив его в поле формы html.

Я не знаю, является ли это причиной того, что ваш запрос не работает прямо сейчас (он только ломается, если вы вводите недопустимый символ), но это серьезная проблема на данный момент.

Чтобы узнать вашу точную ошибку, вы должны отобразить результаты mysql_error(), когда mysql_query() возвращает false. Это, вероятно, поможет вам больше, чем любые случайные догадки, которые мы можем сделать здесь.

GolezTrol 30 нояб. 2010, в 07:38

0

Спасибо. Я буду углубляться дальше и читать о PDO и прочее.
paj 30 нояб. 2010, в 09:06

0

Проблемы в ваших запросах. Попробуйте использовать функцию mysql_error, чтобы получить дополнительную информацию о том, что вы делаете неправильно.

В качестве примера ваш оператор INSERT неверен.

У вас есть:

$sql="INSERT INTO tracks SET tracks.tracktitle='$tracktitle'"

Это должно быть что-то вроде:

$sql="INSERT INTO tracks (tracktitle) VALUES ('$tracktitle')";

Wifi Cordon 29 нояб. 2010, в 19:26

0

Благодаря Wi-Fi, я уже исправил это в другом разделе кода, но, очевидно, пропустил это за этот бит. Очевидно, не осознавал разницу. Учимся все время ....
paj 30 нояб. 2010, в 07:16
0

Нет проблем, Падж, мы здесь, чтобы помочь друг другу: D Ура
Wifi Cordon 30 нояб. 2010, в 13:31
0

Все еще возникают проблемы, хотя, как подробно описано в первой партии комментариев. Не могу решить это ..
paj 30 нояб. 2010, в 15:21

Показать ещё 1 комментарий

Ещё вопросы

Получаете ли вы сообщение об ошибке, и если да, что оно говорит? - РЕДАКТИРОВАТЬ: На самом деле, я вижу проблему сейчас.
Вам также не хватает endif; в самом конце (открытие if: никогда не закрывается).
Какую СУБД вы используете из любопытства?
Спасибо за помощь. у меня действительно есть endif, но я не включил его в вышеперечисленное. Я только что процитировал основной кусок кода PHP. Хельги, я использую PHPMyAdmin. Я изменил код INSERT INTO / SET на то, что я должен был сделать (и на самом деле то, что я уже сделал в другом разделе - очевидно, пропустил это), но я получаю сообщение об ошибке «Ошибка добавления нового трека. Не удается добавить или обновить ребенок ряд: ограничение внешнего ключа не удается ( musicsearch . tracks , скованность tracks_ibfk_4 FOREIGN KEY ( albumid ) Лит albums ( albumid ) ON DELETE CASCADE)».
My Relation View в MyPhpAdmin выглядит следующим образом ... trackid albumid 'musicsearch', 'columns', 'albumid' ON DELETE каскад ON UPDATE composerid 'musicsearch', 'composers', 'composerid' ON DELETE cascade ON UPDATE tracktitle Не указан индекс ! Я думаю, что что-то пропустил по пути.
Спасибо. Я буду углубляться дальше и читать о PDO и прочее.
Благодаря Wi-Fi, я уже исправил это в другом разделе кода, но, очевидно, пропустил это за этот бит. Очевидно, не осознавал разницу. Учимся все время ....
Нет проблем, Падж, мы здесь, чтобы помочь друг другу: D Ура
Все еще возникают проблемы, хотя, как подробно описано в первой партии комментариев. Не могу решить это ..

Teekin · Accepted Answer · 2010-11-29T19-46-00.000Z

Синтаксис INSERT неверен. Вы пытаетесь вставить INSERT с помощью синтаксиса UPDATE.

Вы пытаетесь:

INSERT INTO table_name SET field_name = '$value', another_field_name = '$another_value'

Но вы должны делать:

INSERT INTO table_name (
    field_name,
    another_field_name
)
VALUES (
    '$value',
    '$another_value'
)

Кроме того, вы действительно должны использовать addlahes(), например:

INSERT INTO table_name (
    field_name,
    another_field_name
)
VALUES (
    '".addslashes($value)."',
    '".addslashes($another_value)."'
)

В противном случае ваш код легче взломать, чем отварной картофель.:)

EDIT: Чад Берч (ниже) предлагает скорее использовать параметризованные значения, которые, по общему признанию, лучше, чем addslashes(). Я, честно говоря, не знал, что PHP уже есть.

INSERT INTO table_name SET field_name = 'foo', another_field_name = 'bar' совершенно допустимо в MySQL.
Ну, я буду проклят! Это работает на моей установке MySQL, но не MS-SQL. Конечно, это не стандартный SQL, хотя?
addslashes() не является хорошей защитой. Посмотрите на параметризованные запросы, которые обычно выполняются через функции Mysqli или PDO.
@ Helgi - нет, это недопустимый SQL, он работает только в MySQL, и поэтому это ужасная идея. Вы должны изменить свой ответ, указав, что, хотя он действителен в MySQL, следует избегать синтаксиса, поскольку он не переносим.
Да, я еще не занимался вопросами безопасности. Я хочу, чтобы моя голова работала. ЗОП для меня совершенно новое, поэтому я буду читать об этом. Я изменил код, как указано выше, но получаю новое сообщение об ошибке.