Проблема с заменой данных в бд

ainur777 · 6 сен 2013

Помогите с заменой данных в бд уже неделю мучаюсь. Существует 2 страницы reg.php и save_bd.php:
Со страницы reg.php отправляет данные методом post в save_bd.php, так же отправляет методом $myrow['id'], номер id. Нужно чтобы у данного id изменилось значение tos в таблице, пробовал так не получилось:
include ("bd.php");
$result = mysql_query("UPDATE tablo SET tos='$_Post' WHERE id=$_GET['id']",$db);

Подскажите пожалуйста как правильнее???

[vs] · 6 сен 2013

ainur777 сказал(а):

tos='$_Post'
Нажмите, чтобы раскрыть...

)

Добавлено спустя 1 минуту 5 секунд:
сравни с

ainur777 сказал(а):

$_GET['id']
Нажмите, чтобы раскрыть...

элементы массивов кстати не вызываются внутри двойных кавычек

ainur777 · 6 сен 2013

[vs] сказал(а):

$result = mysql_query("UPDATE tablo SET tos='$_Post' WHERE id=$_GET['id']",$db);
Нажмите, чтобы раскрыть...

[vs] сказал(а):

ainur777 сказал(а):

tos='$_Post'
Нажмите, чтобы раскрыть...

)

Добавлено спустя 1 минуту 5 секунд:
сравни с

ainur777 сказал(а):

$_GET['id']
Нажмите, чтобы раскрыть...

элементы массивов кстати не вызываются внутри двойных кавычек
Нажмите, чтобы раскрыть...

Как я понял так: $result = mysql_query('UPDATE tablo SET tos='$_Post' WHERE id=$_GET['id']',$db);
только как сравнить???подскажи

[vs] · 6 сен 2013

ainur777 сказал(а):

id=$_GET['id']'
Нажмите, чтобы раскрыть...

нет, в одинарных кавычках переменные не работают вообще. Используй конкатенацию. Данные из POST надо использовать таким же образом.

ainur777 · 6 сен 2013

[vs] сказал(а):

ainur777 сказал(а):

id=$_GET['id']'
Нажмите, чтобы раскрыть...

нет, в одинарных кавычках переменные не работают вообще. Используй конкатенацию. Данные из POST надо использовать таким же образом.
Нажмите, чтобы раскрыть...

Че та все равно не получается...

Добавлено спустя 2 минуты 36 секунд:

ainur777 сказал(а):

[vs] сказал(а):

ainur777 сказал(а):

id=$_GET['id']'
Нажмите, чтобы раскрыть...

нет, в одинарных кавычках переменные не работают вообще. Используй конкатенацию. Данные из POST надо использовать таким же образом.
Нажмите, чтобы раскрыть...

Че та все равно не получается...
Нажмите, чтобы раскрыть...

Пробовал еще так:
include ("bd.php");
if (isset($_POST['tos'])) { $tos = $_POST['tos'];}
$result = mysql_query 'UPDATE tablo SET tos='$tos' WHERE id=$_GET['id'],$db';
$myrow = mysql_fetch_array($result);

MouseZver · 6 сен 2013

ainur777, за апострофами следи куда ты их пишешь и для чего они в том или ином месте

noganno · 6 сен 2013

В данном случае человеку легче написать запрос, а не мучать теорией =)

Код (Text):

"UPDATE tablo SET `tos`='".html_special_chars($_POST['tos'])."' WHERE `id`='".(int)$_GET['id']."'"

MouseZver · 6 сен 2013

ты мне кайф обломал сцук -,-

Fell-x27 · 6 сен 2013

noganno сказал(а):

"UPDATE tablo SET `tos`='".html_special_chars($_POST['tos'])."' WHERE `id`='".(int)$_GET['id']."'"
Нажмите, чтобы раскрыть...

О_о причем тут html_special_chars? И почему не пытаемся заслешить id? Верите пользователю на слово?

noganno · 7 сен 2013

Fell-x27 сказал(а):

noganno сказал(а):

"UPDATE tablo SET `tos`='".html_special_chars($_POST['tos'])."' WHERE `id`='".(int)$_GET['id']."'"
Нажмите, чтобы раскрыть...

О_о причем тут html_special_chars? И почему не пытаемся заслешить id? Верите пользователю на слово?
Нажмите, чтобы раскрыть...

как вы думаете, что вернет (int)$_GET['id']? Число или строку? Вы уверены, что стоит тут еще "заслешивать" параметр?

Fell-x27 · 7 сен 2013

noganno сказал(а):

как вы думаете, что вернет (int)$_GET['id']?
Нажмите, чтобы раскрыть...

Ноль. Оно вернет ноль. С вероятностью 99% нулевой id будет существовать. Таким образом любое текстовое значение сразу ставит "под удар" нулевой айдишник. Это не инъекция, но дата-коррапшен на лицо

Так что лучше не приводить, а слэшить. И не html_special_characters ом определенно.

igordata · 7 сен 2013

не будет. автоинкремент идет с единички. и ничего страшного нет в том, что нулевой айдишник будет заапдейчен. Тот кто может запустить этот апдейт может запустить и любой. Т.е. косяк не в (int).

Fell-x27 · 7 сен 2013

Окай, ну а что насчет html_special_characters?)

igordata · 7 сен 2013

уже сто раз обсуждалось. надоело до чертиков =) есть специальная функция, нужно пользовать ее, предварительно установив кодировку.

MouseZver · 7 сен 2013

sqlite_escape_string

Fell-x27 · 8 сен 2013

Оффтоп:
Кстати, использование WHERE%%BLYAD' спецификации передачи параметров гаранитрует полную защиту от любого вида инъекций.

Проблема с заменой данных в бд

ainur777 Активный пользователь

[vs] Суперстар
Команда форума Модератор

ainur777 Активный пользователь

[vs] Суперстар
Команда форума Модератор

ainur777 Активный пользователь

MouseZver Суперстар

noganno Новичок

MouseZver Суперстар

Fell-x27 Суперстар
Команда форума Модератор

noganno Новичок

Fell-x27 Суперстар
Команда форума Модератор

igordata Суперстар
Команда форума Модератор

Fell-x27 Суперстар
Команда форума Модератор

igordata Суперстар
Команда форума Модератор

MouseZver Суперстар

Fell-x27 Суперстар
Команда форума Модератор

Быстрый поиск

Проблема с заменой данных в бд

ainur777 Активный пользователь

[vs] Суперстар Команда форума Модератор

ainur777 Активный пользователь

[vs] Суперстар Команда форума Модератор

ainur777 Активный пользователь

MouseZver Суперстар

noganno Новичок

MouseZver Суперстар

Fell-x27 Суперстар Команда форума Модератор

noganno Новичок

Fell-x27 Суперстар Команда форума Модератор

igordata Суперстар Команда форума Модератор

Fell-x27 Суперстар Команда форума Модератор

igordata Суперстар Команда форума Модератор

MouseZver Суперстар

Fell-x27 Суперстар Команда форума Модератор

[vs] Суперстар
Команда форума Модератор

[vs] Суперстар
Команда форума Модератор

Fell-x27 Суперстар
Команда форума Модератор

Fell-x27 Суперстар
Команда форума Модератор

igordata Суперстар
Команда форума Модератор

Fell-x27 Суперстар
Команда форума Модератор

igordata Суперстар
Команда форума Модератор

Fell-x27 Суперстар
Команда форума Модератор