PHP вставка в ошибку

Question

PHP вставка в ошибку

0

Я начал изучать начало кодирования с помощью HTML, CSS и php. Я создал базовую форму, чтобы проверить свое мастерство. Тем не менее, я застрял в этом. Можете ли вы мне помочь?

Я знаю, что он открыт для SQL-инъекций, я просто пытаюсь улучшить себя в кодировании и буду использовать подготовленные заявления и параметризованные запросы в реальной жизни.

<?php

if ($_SERVER["REQUEST_METHOD"] == "POST") {

    $mysql_host = "";
    $mysql_username = "";
    $mysql_password = "";
    $mysql_database = "";

    $conn = new mysqli ($mysql_host, $mysql_username, $mysql_password, $mysql_database);

    $c_name = $_POST["club_name"]; 
    $c_league = $_POST["league"];
    $c_rank = $_POST["ranking"];
    $c_prank = $_POST["previous_rank"];

    $sql = "INSERT INTO 'club_data' ('club_name', 'league', 'ranking', 'previous_rank')
    VALUES ('$c_name', '$c_league, $c_rank, $c_prank);";
    mysqli_query($conn, $sql); 

    if ($conn->query($sql) === TRUE) {
        echo "kayit islendi";
    }
    else {
        echo "Error". $sql ."<br>". $conn->error;
    }
    $conn->close();
}
?>

Каждый раз, когда я использовал форму, я получил эту ошибку.

Ошибка INSERT INTO... и т.д.

sinan 07 апр. 2018, в 20:01

Источник

4

Вы открыты для внедрения SQL! Это огромный риск для безопасности! Не используйте свой код в реальном приложении!
cramopy 07 апр. 2018, в 17:41
0

Итак, какая у вас ошибка? Также внимательно посмотрите на свой запрос в $sql , у вас проблема с кавычками
Eugene Ruban 07 апр. 2018, в 17:43
4

Не помещайте пользовательские данные в SQL-запросы, подобные этому. Всегда используйте параметризованные запросы .
Peter 07 апр. 2018, в 17:45
5

@Awaisfiaz Мы все когда-то были новичками, и мы (надеемся) хотим, чтобы больше людей рассказали нам, как избежать катастрофы. Если вы видите, что новый водитель едет без рулевого колеса, надеюсь, вы скажете что-нибудь. Это та же проблема.
Ed Cottrell♦ 07 апр. 2018, в 17:48
0

Как уже отмечали другие, вы широко открыты для внедрения SQL . Вам нужно использовать подготовленные операторы, а не объединять переменные в запросе. См. Как я могу предотвратить внедрение SQL в PHP? ,
Ed Cottrell♦ 07 апр. 2018, в 17:48
0

@EdCottrell Я уважаю ваши взгляды и ценю ваши усилия по оказанию ему / ей помощи.
Awais fiaz 07 апр. 2018, в 17:50
1

'$c_name', '$c_league, $c_rank, $c_prank посмотрите ваши цитаты здесь. А еще лучше, используйте подготовленное заявление, и вам не придется думать о ваших цитатах в запросе.
Qirel 07 апр. 2018, в 17:50
0

Вы пошли и отредактировали вопрос после того, как кто-то опубликовал ответ о переменных без кавычек, почему и почему вы не прокомментировали ответ (ы) об этом? @sinan
Funk Forty Niner 07 апр. 2018, в 23:47
0

Я знаю, почему это не удалось. Я дам вам подсказку: придумайте номер 2, и я дам вам другой номер.
Funk Forty Niner 07 апр. 2018, в 23:48
0

Я отредактировал цитаты в коде, потому что это не было причиной, это была просто опечатка, которую я сделал, когда писал этот пост. И ребята, почему вы так агрессивны в своих комментариях, я здесь, чтобы учиться у вас?
sinan 08 апр. 2018, в 12:04

Показать ещё 8 комментариев

Теги:

php

mysql

2 ответа

Ещё вопросы

Вы открыты для внедрения SQL! Это огромный риск для безопасности! Не используйте свой код в реальном приложении!
Итак, какая у вас ошибка? Также внимательно посмотрите на свой запрос в $sql , у вас проблема с кавычками
Не помещайте пользовательские данные в SQL-запросы, подобные этому. Всегда используйте параметризованные запросы .
@Awaisfiaz Мы все когда-то были новичками, и мы (надеемся) хотим, чтобы больше людей рассказали нам, как избежать катастрофы. Если вы видите, что новый водитель едет без рулевого колеса, надеюсь, вы скажете что-нибудь. Это та же проблема.
Как уже отмечали другие, вы широко открыты для внедрения SQL . Вам нужно использовать подготовленные операторы, а не объединять переменные в запросе. См. Как я могу предотвратить внедрение SQL в PHP? ,
@EdCottrell Я уважаю ваши взгляды и ценю ваши усилия по оказанию ему / ей помощи.
'$c_name', '$c_league, $c_rank, $c_prank посмотрите ваши цитаты здесь. А еще лучше, используйте подготовленное заявление, и вам не придется думать о ваших цитатах в запросе.
Вы пошли и отредактировали вопрос после того, как кто-то опубликовал ответ о переменных без кавычек, почему и почему вы не прокомментировали ответ (ы) об этом? @sinan
Я знаю, почему это не удалось. Я дам вам подсказку: придумайте номер 2, и я дам вам другой номер.
Я отредактировал цитаты в коде, потому что это не было причиной, это была просто опечатка, которую я сделал, когда писал этот пост. И ребята, почему вы так агрессивны в своих комментариях, я здесь, чтобы учиться у вас?

Paul G Mihai · Answer 1 · 2018-04-07T16-16-00.000Z

Вам не хватает котировок вокруг ваших значений вставки, здесь фиксированный sql:

$sql = "INSERT INTO 'club_data' ('club_name', 'league', 'ranking', 'previous_rank')
VALUES ('$c_name', '$c_league', '$c_rank', '$c_prank');"

Вам не хватало котировок вокруг каждого значения!

ОДНАКО, это плохой способ создания запросов к базе данных в производстве. Либо используйте mysqli_real_escape_string для дезинфекции ваших строк (каждая из ваших переменных будет нуждаться в этом лечении) или использовать подготовленные заявления.

В качестве альтернативы и способ, которым вы всегда должны использовать свою БД, - это оболочка PDO. В этом случае вы будете использовать: PDO::quote. PDO предлагает унифицированный интерфейс для самых популярных баз данных. Здесь вы можете узнать больше о PDO: http://php.net/manual/en/book.pdo.php

Кодеры предпочитают подготовленные заявления для дезинфекции своих вкладов. Однако это приводит к дополнительной связи с сервером mysql и написанию еще немного кода в php. Подготовленные утверждения в большей степени задействованы, чем обычные запросы, поскольку они кэшируются на SQL-сервере и предварительно обрабатываются ожиданием использования данных, а также с мириадными вопросительными знаками делает код очень трудным для чтения, особенно если вы начинаете работать на производстве и имеете мириад столбцов для заполнения. Здесь вы можете прочитать больше о подготовленных заявлениях: https://dev.mysql.com/doc/refman/5.7/en/sql-syntax-prepared-statements.html

Основной вынос:

никогда, НИКОГДА, НИКОГДА не сохраняйте несаминированные данные в БД! Используйте mysqli_real_escape_string или PDO::quote или подготовленные заявления, в зависимости от ситуации.
используйте подготовленные операторы для того, что они были созданы не только как инструмент оптового дезинфицирующего средства, используйте их, когда вы должны повторять один и тот же запрос. Особенно, если этот запрос не является вставкой, в этом случае я предлагаю вам сделать массовую вставку так: INSERT INTO tbl_name (a,b,c) VALUES(1,2,3),(4,5,6),(7,8,9); Подробнее читайте здесь: https://dev.mysql.com/doc/refman/5.7/en/insert.html. Это предостережение в том, что максимальный размер sql с вставленными значениями никогда не должен быть больше, чем max_allowed_packet config.

Вы много здесь освещали и стали причиной, по которой я проголосовал, но пропустил то, что все пропустили. Я разместил этот комментарий об этом под своим постом.

Akintunde-Rotimi · Answer 2 · 2018-04-07T15-38-00.000Z

Вы должны использовать подготовленные заявления. Это не только предотвращает атаки SQL-инъекций, но и позволяет избежать проблем с цитированием, с которыми вы в настоящее время сталкиваетесь

$sql = "INSERT INTO 'club_data' ('club_name', 'league', 'ranking', 'previous_rank')
VALUES (?, ?, ?, ?);";

$result = $conn->prepare($sql);
$result->bind_param('ssss', $c_name, $c_league, $c_rank, $c_prank);
echo $result->execute() === true ? 'kayit islendi' : 'Error'.$conn->error;