Ошибка при вставке данных в базу данных с использованием подготовленного оператора

Question

Ошибка при вставке данных в базу данных с использованием подготовленного оператора

0

Я работаю в системе билета для своей компании, используя PHP и подготовленное выражение. Когда вы добавляете билет, вы должны заполнить эти поля:

Тип билета
Название билета
Описание билета
Запрошенная дата
Запрошен час
Компания
Тип посещения
приоритет
Статус
Техник назначен

Это работает: 1. Вы можете выбрать тип билета, вытащенный из базы данных. 2. Вы можете выбрать компанию, вытащенную из базы данных. 3. Вы можете выбрать тип посещения, извлеченного из базы данных. 4. Вы можете выбрать техников, которые вытащили из базы данных.

Проблема в том, что когда вы нажимаете на добавление билета, он ничего не добавит в базу данных.

Вот мой код:

newticket.php

<?php
   $projects = ProjectData::getAll();
   $priorities = PriorityData::getAll();
   $ticket= TicketData::getAll();
   $statuses = StatusData::getAll();
   $kinds = KindData::getAll();
   $users = UserData::getAll();

   ?>
<div class="row">
   <div class="col-md-12">
      <div class="card">
         <div class="card-header" data-background-color="blue">
            <h4 class="title">Nuevo Ticket</h4>
         </div>
         <div class="card-content table-responsive">
            <form class="form-horizontal" role="form" method="post" action="./?action=addticket">
               <div class="form-group">
                  <label for="inputEmail1" class="col-lg-2 control-label">Tipo</label>
                  <div class="col-lg-10">
                     <select name="kind_id" class="form-control" required>
                        <?php foreach($kinds as $p):?>
                        <option value="<?php echo $p->id; ?>"><?php echo $p->name; ?></option>
                        <?php endforeach; ?>
                     </select>
                  </div>
               </div>
               <div class="form-group">
                  <label for="inputEmail1" class="col-lg-2 control-label">Titulo</label>
                  <div class="col-lg-10">
                     <input type="text" name="title" required class="form-control" id="inputEmail1" placeholder="Titulo">
                  </div>
               </div>
               <div class="form-group">
                  <label for="inputEmail1" class="col-lg-2 control-label">Descripcion</label>
                  <div class="col-lg-10">
                     <textarea class="form-control" name="description" required placeholder="Descripcion"></textarea>
                  </div>
               </div>
               <div class="form-group">
                  <label for="inputEmail1" class="col-lg-2 control-label">Fecha de la Visita</label>
                  <div class="col-lg-4">
                     <input name="date_at" id="date_at" class="form-control" type="date">
                  </div>
                  <label for="inputEmail1" class="col-lg-2 control-label">Hora de la Visita</label>
                  <div class="col-lg-4">
                     <input name="time_at" id="time_at" class="form-control" type="time" />
                  </div>
               </div>
               <div class="form-group">
                  <label for="inputEmail1" class="col-lg-2 control-label">Proyecto</label>
                  <div class="col-lg-4">
                     <select name="project_id" class="form-control" required>
                        <option value="">-- SELECCIONE --</option>
                        <?php foreach($projects as $p):?>
                        <option value="<?php echo $p->id; ?>"><?php echo $p->name; ?></option>
                        <?php endforeach; ?>
                     </select>
                  </div>
                  <label for="inputEmail1" class="col-lg-2 control-label">Categoria</label>
                  <div class="col-lg-4">
                     <select name="category_id" class="form-control" required>
                        <option value="">-- SELECCIONE --</option>
                        <?php foreach(CategoryData::getAll() as $p):?>
                        <option value="<?php echo $p->id; ?>"><?php echo $p->name; ?></option>
                        <?php endforeach; ?>
                     </select>
                  </div>
               </div>
               <div class="form-group">
                  <label for="inputEmail1" class="col-lg-2 control-label">Prioridad</label>
                  <div class="col-lg-4">
                     <select name="priority_id" class="form-control" required>
                        <option value="">-- SELECCIONE --</option>
                        <?php foreach($priorities as $p):?>
                        <option value="<?php echo $p->id; ?>"><?php echo $p->name; ?></option>
                        <?php endforeach; ?>
                     </select>
                  </div>
                  <label for="inputEmail1" class="col-lg-2 control-label">Estado</label>
                  <div class="col-lg-4">
                     <select name="status_id" class="form-control" required>
                        <?php foreach($statuses as $p):?>
                        <option value="<?php echo $p->id; ?>"><?php echo $p->name; ?></option>
                        <?php endforeach; ?>
                     </select>
                  </div>
               </div>
               <div class="form-group">
                  <label for="inputEmail1" class="col-lg-2 control-label">Asignar a</label>
                  <div class="col-lg-4">
                     <select name="tecnico_id" class="form-control" required>
                        <option value="">-- SELECCIONE --</option>
                        <?php foreach($users as $p):?>
                        <option value="<?php echo $p->id; ?>"><?php echo $p->name." ".$p->lastname; ?></option>
                        <?php endforeach; ?>
                     </select>
                  </div>
               </div>
               <div class="form-group">
                  <div class="col-lg-offset-2 col-lg-10">
                     <button type="submit" class="btn btn-default">Agregar Ticket</button>
                  </div>
               </div>
            </form>
         </div>
      </div>
   </div>
</div>

ticketdata.php

<?php
class TicketData {
    public static $tablename = "ticket";


    public function TicketData(){
        $this->name = "";
        $this->lastname = "";
        $this->email = "";
        $this->password = "";
        $this->date_at="";
        $this->time_at="";
        $this->tecnico_id="";
        $this->created_at = "NOW()";
    }
    public function getTicket(){ return TicketData::getById($this->ticket_id); }
    public function getProject(){ return ProjectData::getById($this->project_id); }
    public function getPriority(){ return PriorityData::getById($this->priority_id); }
    public function getStatus(){ return StatusData::getById($this->status_id); }
    public function getKind(){ return KindData::getById($this->kind_id); }
    public function getCategory(){ return CategoryData::getById($this->category_id); }

    public function add(){
        $sql = "insert into ticket (title,description,date_at,time_at,category_id,project_id,priority_id,user_id,status_id,kind_id,created_at,tecnico_id) ";
        $sql .= "value (\"$this->title\",\"$this->description\",\"$this->date_at\",\"$this->time_at\",\"$this->category_id\",\"$this->project_id\",$this->priority_id,$this->user_id,$this->status_id,$this->kind_id,$this->created_at,$this->tecnico_id)";
        return Executor::doit($sql);
    }

    public static function delById($id){
        $sql = "delete from ".self::$tablename." where id=$id";
        Executor::doit($sql);
    }
    public function del(){
        $sql = "delete from ".self::$tablename." where id=$this->id";
        Executor::doit($sql);
    }

// partiendo de que ya tenemos creado un objecto TicketData previamente utilizamos el contexto
    public function update(){
        $sql = "update ".self::$tablename." set title=\"$this->title\",category_id=\"$this->category_id\",date_at=\"$this->date_at\",time_at=\"$this->time_at\",tecnico_id=\"$this->tecnico_id\",project_id=\"$this->project_id\",priority_id=\"$this->priority_id\",description=\"$this->description\",status_id=\"$this->status_id\",kind_id=\"$this->kind_id\",updated_at=NOW() where id=$this->id";
        Executor::doit($sql);
    }

    public static function getById($id){
        $sql = "select * from ".self::$tablename." where id=$id";
        $query = Executor::doit($sql);
        return Model::one($query[0],new TicketData());
    }

    public static function getRepeated($pacient_id,$medic_id,$date_at,$time_at){
        $sql = "select * from ".self::$tablename." where pacient_id=$pacient_id and medic_id=$medic_id and date_at=\"$date_at\" and time_at=\"$time_at\"";
        $query = Executor::doit($sql);
        return Model::one($query[0],new TicketData());
    }



    public static function getByMail($mail){
        $sql = "select * from ".self::$tablename." where mail=\"$mail\"";
        $query = Executor::doit($sql);
        return Model::one($query[0],new TicketData());
    }

    public static function getEvery(){
        $sql = "select * from ".self::$tablename;
        $query = Executor::doit($sql);
        return Model::many($query[0],new TicketData()); 
    }

    public static function getEvents(){
        $sql = "select * from ".self::$tablename;
        $query = Executor::doit($sql);
        return Model::many($query[0],new TicketData());
    }

    public static function getAll(){
        $sql = "select * from ".self::$tablename." order by created_at desc";
        $query = Executor::doit($sql);
        return Model::many($query[0],new TicketData());
    }

    public static function getAllPendings(){
        $sql = "select * from ".self::$tablename." where status_id=1";
        $query = Executor::doit($sql);
        return Model::many($query[0],new TicketData());
    }


    public static function getAllByPacientId($id){
        $sql = "select * from ".self::$tablename." where pacient_id=$id order by created_at";
        $query = Executor::doit($sql);
        return Model::many($query[0],new TicketData());
    }

    public static function getAllByMedicId($id){
        $sql = "select * from ".self::$tablename." where medic_id=$id order by created_at";
        $query = Executor::doit($sql);
        return Model::many($query[0],new TicketData());
    }

    public static function getBySQL($sql){
        $query = Executor::doit($sql);
        return Model::many($query[0],new TicketData());
    }

    public static function getOld(){
        $sql = "select * from ".self::$tablename." where date(date_at)<date(NOW()) order by date_at";
        $query = Executor::doit($sql);
        return Model::many($query[0],new TicketData());
    }

    public static function getLike($q){
        $sql = "select * from ".self::$tablename." where title like '%$q%'";
        $query = Executor::doit($sql);
        return Model::many($query[0],new TicketData());
    }


}

?>

ОБНОВИТЬ

Сделал небольшие изменения в TicketData.php, исправляя наблюдения @smith и @Nick. Они выглядят так:

class TicketData {
    public static $tablename = "ticket";
    public function TicketData(){
        $this->name = "";
        $this->title = "";
        $this->description= "";
        $this->lastname = "";
        $this->email = "";
        $this->password = "";
        $this->date_at="";
        $this->time_at="";
        $this->tecnico_id="";
        $this->created_at = "NOW()";
    }
    public function getProject(){ return ProjectData::getById($this->project_id); }
    public function getPriority(){ return PriorityData::getById($this->priority_id); }
    public function getStatus(){ return StatusData::getById($this->status_id); }
    public function getKind(){ return KindData::getById($this->kind_id); }
    public function getCategory(){ return CategoryData::getById($this->category_id); }
    public function add(){
        $sql = "insert into ticket (title,description,date_at,time_at,category_id,project_id,priority_id,user_id,status_id,kind_id,created_at,tecnico_id) ";
        $sql .= "values (\"$this->title\",\"$this->description\",\"$this->date_at\",\"$this->time_at\",\"$this->category_id\",\"$this->project_id\",\"$this->priority_id\",\"$this->user_id\",\"$this->status_id\",\"$this->kind_id\",\"$this->created_at\",\"$this->tecnico_id\")";
        return Executor::doit($sql);
    }

Теперь он сохранит эти поля:

Тип билета (kind_id)
Название билета (title)
Описание билета (description)
Запрошенная дата (date_at)
Час запрошен (hour_at)
Компания (project_id)
Тип посещения (category_id)
Приоритет (priority_id)
Статус (status_id)

Он не сохранит это поле:

Назначенный техник (tecnico_id)

addticket-action.php

    <?php
        $r = new TicketData();
        $r->title = $_POST["title"];
        $r->description = $_POST["description"];
        $r->category_id = $_POST["category_id"];
        $r->project_id = $_POST["project_id"];
        $r->priority_id = $_POST["priority_id"];
        $r->user_id = $_SESSION["user_id"];
        $r->status_id = $_POST["status_id"];
        $r->kind_id = $_POST["kind_id"];
        $r->date_at = $_POST["date_at"];
        $r->time_at = $_POST["time_at"];
        $r->tecnico_id = $_POST["tecnico_id"];
        $r->created_at = $_POST["created_at"];
        $r->add();
        Core::alert("Successfully added!");
        Core::redir("./index.php?view=tickets");
 ?>

Я хочу сделать все, прежде чем дезинформировать и перевести на надлежащее подготовленное выражение. Что мне нужно исправить/добавить, чтобы сценарий сохранил date_at (date_at) (hour_at) и (tecnico_id)?

Josue Marin 28 май 2018, в 06:23

Источник

0

Совет: узнайте о параметрах запроса.
Bill Karwin 28 май 2018, в 04:16
0

я не вижу $this->title т.д.
user9487972 28 май 2018, в 04:20
0

это должны быть values , а не value в запросе insert .
Nick 28 май 2018, в 04:47
0

Конструкторы классов не должны использовать старый стиль ( public function ClassName() ), поскольку он устарел в PHP 7 и будет полностью удален в будущих версиях. Вместо этого используйте public function __construct() . Ваш код также будет более понятным, если вы определите все свойства (и их значения по умолчанию) как свойства вместо того, чтобы неявно добавлять их в конструктор.
Magnus Eriksson 28 май 2018, в 04:59
0

Вы также используете в своем коде несколько свойств класса, которые просто не существуют. Вы также никогда не устанавливаете / не заполняете свойства в любой точке. Этот код имеет несколько проблем. Как вы используете этот класс? Вы устанавливаете свойства другим способом?
Magnus Eriksson 28 май 2018, в 05:00

Показать ещё 3 комментария

Теги:

php

mysql

prepared-statement

ticket-system

1 ответ

Ещё вопросы

Совет: узнайте о параметрах запроса.
это должны быть values , а не value в запросе insert .
Конструкторы классов не должны использовать старый стиль ( public function ClassName() ), поскольку он устарел в PHP 7 и будет полностью удален в будущих версиях. Вместо этого используйте public function __construct() . Ваш код также будет более понятным, если вы определите все свойства (и их значения по умолчанию) как свойства вместо того, чтобы неявно добавлять их в конструктор.
Вы также используете в своем коде несколько свойств класса, которые просто не существуют. Вы также никогда не устанавливаете / не заполняете свойства в любой точке. Этот код имеет несколько проблем. Как вы используете этот класс? Вы устанавливаете свойства другим способом?

Patrick · Answer 1 · 2018-05-28T03-08-00.000Z

Предоставление некоторых журналов или сообщений об ошибках в бэкэнд может быть весьма полезным при устранении этой проблемы.

На первый взгляд, однако, главное, что выпрыгивает, состоит в том, что вы фактически не используете подготовленное выражение. Вы в основном объединяете строку вместе, чтобы сделать инструкцию SQL, что очень плохо по нескольким причинам:

Вы уязвимы для SQL-инъекций. Например, если вы поместите ","",""); DROP TABLE ticket; -- в поле заголовка кто-то может уничтожить вашу таблицу билета, потому что ваш код не проверяет это.
Вы должны дезинфицировать свои материалы. Если заголовок содержит двойную кавычку, он преждевременно прекратит ввод строки, в результате чего ваш SQL завершится с ошибкой.

Это довольно большая дыра в безопасности, поэтому подключите это и сберегите себе некоторые головные боли для санитарии одновременно! Если вы конвертируете в подготовленный оператор и работает, то это, вероятно, проблема санитарии. Если он по-прежнему не работает, найдите там некоторые протоколирующие заявления и посмотрите, что у вас есть.

http://php.net/manual/en/mysqli.quickstart.prepared-statements.php https://www.w3schools.com/php/php_mysql_prepared_statements.asp

Да, и между прочим: мне было любопытно, и я напечатал ","",""); DROP TABLE ticket; -- в поле заголовка. Ничего не произошло. Он даже не спас билет.
Это может указывать на то, что в дополнение к вышеупомянутым проблемам, где-то может быть ошибка подключения к БД. Можете ли вы сделать простой «выбор * из лимитов 5 билетов» и получить его вернуться? Также с синтаксисом Drop я предоставил пример, но вам нужно будет ввести достаточно кавычек, чтобы заполнить ваши вставки.
Да, произошла ошибка подключения, потому что я забыл добавить новые поля в addticket-action.php . Тем не менее, код «обнаружит» это и не сохранит билет. Если я введу что-то еще, это обязательно сохранит.
Это, вероятно, означает, что в синтаксисе атаки с помощью инъекций все еще есть ошибка - основываясь на приведенном выше коде, я обещаю, что ничто не «обнаруживает» его и останавливает атаку. Это ваш код для отправки на prod, поэтому обработайте его как хотите. Система тикетов, вероятно, имеет меньший риск, но, учитывая, что у вас есть электронные письма и пароли, вам действительно нужно 15 минут, чтобы сделать готовое заявление.