Debat
|
Hej Amino'er! Hav en rigtig god aften!
|
|
Well, dit felt hedder form1 og du henter $_POST['form'] i din insert... Men udover en masse uheldigheder/fejl, så skal mysql_query som minimum have strengen i "-tegn. mysql_query("INERT INTO tabel(kolonne1) VALUES (" . $_POST['form1'] . ")"); |
Den der bruger du vel ikke...... SQL-injection.... |
|
@Niels : Hahah nej. men hvis ha i første omgang skal ha hul igennem, rettede jeg så lidt som muligt i hans egen kode. |
|
"form" var en slåfejl, der er jo kun én form mysql_query("INSERT INTO temp(quote) VALUES ("$_POST['thequote']")"); Når jeg fjerner den éne kommando, loader resten fuldstændigt som det skal. Jeg ville være så taknemmelig, hvis du vil kigge på filen og se om du kan finde fejlen. Forbindelsen til databasen dannes uden problemer |
|
Er du sikker på databasen med navnet "database" og tabellen med navnet "temp" findes? Kig evt. efter i din backend (phpMyAdmin eller lignende). Som Niels korrekt nævner er din kode sårbar overfor SQL Injection, kort fortalt kan jeg f.eks. slette din tabel ved at indtaste noget i retning af "blabla"); DROP TABLE quote; --" i din form, så den endelige SQL query i din kode kommer til at være: "INSERT INTO temp(quote) VALUES ("blabla"); DROP TABLE temp; --" (alt efter -- bliver ignoreret og set som en kommentar af MySQL). Du kan i stedet bruge PDO og prepared statements, har omskrevet dit lille eksempel til at bruge PDO. Tag et kig og se om det virker. Note: koden er skrevet i en fart, håber ikke der er bugs i :) |
Softwareudvikler med speciale indenfor skalerbare webløsninger. PHP, MySQL, Puppet, Python, Apache, nginx, HTML5, m.m.
http://bitmasch.com/
|
Bemærk at der er punktum før og efter $_POST['form'] ... "- tegne omslutter strenge fx. "title" men punktum klipper strenge sammen :) - fx : "title : " . $mintitel; |
|
Ved du hvad, Martin? Det fungerer perfekt med din kode! Mht. SQL Injection, så ved jeg ikke meget om det, men heldigvis er dette også kun et eksempel jeg laver for at blive bedre til PHP og SQL. Tak for linket alligevel - jeg vil bruge det i fremtiden! Rigtig god dag til jer alle |
|
No problemo, held og lykke med lære PHP/SQL! Mht. SQL injection så handler det egentlig bare om at du aldrig kan stole på brugerens input, altså i dette tilfælde det brugeren skriver i input feltet. En "ond" bruger kan skrive ting i feltet som har utilsigtede sideeffekter, i mit tilfælde ovenfor sletter den f.eks. din database tabel.
Hvis nu du f.eks. skriver data fra databasen ud på en anden side, og en bruger har indsat "<script>alert('HACKED YOUR SITE');</script>" i stedet for hvad du forventede og du ikke filtrerer dataene før de præsenteres, så kan brugerne gøre farlige ting ved din side og dine brugeres data. |
Softwareudvikler med speciale indenfor skalerbare webløsninger. PHP, MySQL, Puppet, Python, Apache, nginx, HTML5, m.m.
http://bitmasch.com/
Bliv gratis medlem
Der er en del syntakser jeg ikke forstår, men jeg vil helt klart slå dem op, så jeg kan finde ud af hvordan magien virker 
Opret bruger