Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: Не удается сохранить данные в базу данных

 PHP.SU

 Программирование на PHP, MySQL и другие веб-технологии
PHP.SU Портал     На главную страницу форума Главная     Помощь Помощь     Поиск Поиск     Поиск Яндекс Поиск Яндекс     Вакансии  Пользователи Пользователи


 Страниц (1): [1]   

> Без описания
Поиск в теме | Версия для печати
AndrewRota
Отправлено: 03 Декабря, 2016 - 23:08:15
Post Id


Новичок


Покинул форум
Сообщений всего: 5
Дата рег-ции: Дек. 2016  


Помог: 0 раз(а)
Возникла проблема с сохранением данных в базу данных MySQL. Я понял в чем она, но разрешить так и не удалось. Если в тексте присутствует знак ' (одна кавычка), то php не сохраняет данные. Что делать?
 
 Top
Мелкий Супермодератор
Отправлено: 04 Декабря, 2016 - 11:20:53
Post Id



Активный участник


Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009  
Откуда: Россия, Санкт-Петербург


Помог: 618 раз(а)
Мой хрустальный шар показывает, что у вас глупейшая ошибка - SQL-инъекция.


-----
PostgreSQL DBA
 
 Top
AndrewRota
Отправлено: 04 Декабря, 2016 - 13:56:12
Post Id


Новичок


Покинул форум
Сообщений всего: 5
Дата рег-ции: Дек. 2016  


Помог: 0 раз(а)
Хм... И как же её решить?
 
 Top
Мелкий Супермодератор
Отправлено: 04 Декабря, 2016 - 14:07:56
Post Id



Активный участник


Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009  
Откуда: Россия, Санкт-Петербург


Помог: 618 раз(а)
Используйте prepared statements.
pdo::prepare или mysqli::prepare, если вам больше нравится второй.


-----
PostgreSQL DBA
 
 Top
AndrewRota
Отправлено: 04 Декабря, 2016 - 19:33:53
Post Id


Новичок


Покинул форум
Сообщений всего: 5
Дата рег-ции: Дек. 2016  


Помог: 0 раз(а)
А вы бы не могли объяснить как это работает? И я пишу в другом стиле, вроде он называется "процедурный"
 
 Top
Мелкий Супермодератор
Отправлено: 04 Декабря, 2016 - 20:02:52
Post Id



Активный участник


Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009  
Откуда: Россия, Санкт-Петербург


Помог: 618 раз(а)
Пишите хоть на функциональном эрланге. Но никогда не вставляйте данные в сам запрос.

Работает это явным разделением управляющего кода и данных. Сначала подготавливается запрос, затем к нему привязываются данные, затем просите СУБД выполнить такой-то запрос с такими данными.


-----
PostgreSQL DBA
 
 Top
AndrewRota
Отправлено: 07 Декабря, 2016 - 23:54:00
Post Id


Новичок


Покинул форум
Сообщений всего: 5
Дата рег-ции: Дек. 2016  


Помог: 0 раз(а)
Короче, я разобрался. Надо было использовать mysql_escape_string
 
 Top
Поиск в теме | Версия для печати
Страниц (1): [1]
Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)
« Программирование на PHP »


Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.
  



Powered by PHP  Powered By MySQL  Powered by Nginx  Valid CSS  RSS

 
Powered by ExBB FM 1.0 RC1. InvisionExBB