0

私は非常に単純な関数を書きました:

function editCategory() {
    $ID         = urlencode($_GET['id']);
    $cname   = mysql_fix_string($_POST['cname']);
    $kabst   = mysql_fix_string($_POST['kabst']);
    $kselect    = $_POST['kselect'];
    $subsl      = $_POST['subsl'];
    $kradio     = $_POST['kradio'];
    $ksubmit    = $_POST['ksubmit'];

    if (isset($ksubmit)) {
        $query = "UPDATE category SET name = '$cname', description = '$kabst', published = '$kselect',  home = '$kradio', subcat = '$subsl'  WHERE id = $ID ";

        $result = mysql_query($query);
        if (mysql_affected_rows () == 1) {
            echo "ok";
        }
        else{
            echo mysql_error();
        }
    }
}

function mysql_fix_string($string)
{
    if (get_magic_quotes_gpc())
        $string = stripslashes(($string));
    return mysql_real_escape_string($string);
}

エラー:

SQL 構文にエラーがあります。1 行目の near '' を使用する正しい構文については、MySQL サーバーのバージョンに対応するマニュアルを確認してください。

なにが問題ですか?

4

4 に答える 4

6 
$ID         = intval($_GET['id']); //using urlencode here is weird
$cname      =  mysql_real_escape_string($_POST['cname']); 
//and the same for the rest ALL.
$kradio     = mysql_real_escape_string($_POST['kradio']);

また、

$ksubmit    = $_POST['ksubmit']; 
if (isset($ksubmit)) {

無意味です。$ksubmit は常に設定されます。

if (isset($_POST['ksubmit'])) {

すべての変数があることを確認するには、スクリプトの先頭に次の行を追加してください。

ini_set('display_errors',1);
error_reporting(E_ALL);
于 2010-04-03T13:56:45.317 に答える
1

あなたはそれを確認する必要があります:

  • DB内の文字列(varchar / char)であるフィールドの場合:
    • 渡す値は適切に引用符で囲まれています
    • 渡す値の内容はエスケープする必要があります。ユーザーがPOSTしたものに引用符がある場合は、エスケープする必要があります。を参照してください。mysql_real_escape_string
  • DB内の整数であるフィールドの場合:
    • 整数値を渡す必要があります
    • これはintval、ユーザーがPOSTした値を呼び出すことで確認できます


ここでは、おそらく:

  • intval()で使用$_GET['id']
  • 他のいくつかのフィールドで使用mysql_real_escape_stringします。
    • id一重引用符で囲まれている以外のすべてのフィールドが含まれているクエリから判断すると、もちろん、をmysql_real_escape_string除くすべてのフィールドで使用する必要がありidます。


補足として:

  • あなたが使用$_GETしているid
  • そして$_POST他のすべてのために。

それはわざとですか?

于 2010-04-03T13:59:11.023 に答える
0

空の変数のように聞こえます。

そして、SQL インジェクションに対して何かをしてください。誰もがデータベースをハッキングできます。運が良ければ、データベースを破壊するのはあなたです... クエリへのすべてのユーザー入力に mysql_real_escape_string() を使用します。

于 2010-04-03T13:58:17.473 に答える
0

これは非常に単純な CRU Dアプリケーションの例で、ID を渡す方法を示しています。

<?
mysql_connect();
mysql_select_db("new");
$table="test";
if($_SERVER['REQUEST_METHOD']=='POST') { //form handler part:
  $name = mysql_real_escape_string($_POST['name']);
  if ($id=intval($_POST['id'])) {
    $query="UPDATE $table SET name='$name' WHERE id=$id";
  } else {
    $query="INSERT INTO $table SET name='$name'";
  }
  mysql_query($query) or trigger_error(mysql_error()." in ".$query);
  header("Location: http://".$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF']);
  exit;
}
if (!isset($_GET['id'])) { //listing part:
  $LIST=array();
  $query="SELECT * FROM $table";
  $res=mysql_query($query);
  while($row=mysql_fetch_assoc($res)) $LIST[]=$row;
  include 'list.php';
} else { // form displaying part:

  if ($id=intval($_GET['id'])) {
    $query="SELECT * FROM $table WHERE id=$id";
    $res=mysql_query($query);
    $row=mysql_fetch_assoc($res);
    foreach ($row as $k => $v) $row[$k]=htmlspecialchars($v);
  } else {
    $row['name']='';
    $row['id']=0;
  }
  include 'form.php';
}
?>

ファイル form.php:

<form method="POST">
<input type="text" name="name" value="<?=$row['name']?>"><br>
<input type="hidden" name="id" value="<?=$row['id']?>">
<input type="submit"><br>
<a href="?">Return to the list</a>
</form>

ファイル list.php:

<a href="?id=0">Add item</a>
<? foreach ($LIST as $row): ?>
<li><a href="?id=<?=$row['id']?>"><?=$row['name']?></a>
<? endforeach ?>
于 2010-04-03T15:14:35.137 に答える