PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

mysql ошибка

Форумы портала PHP.SU » PHP » Программирование на PHP » Вопросы новичков (Модераторы: OrmaJever, Саныч, Строитель)

Страниц (1): [1]

Без описания

Поиск в теме | Версия для печати

miniaka	Отправлено: 24 Сентября, 2013 - 18:09:10
Новичок Покинул форум Сообщений всего: 60 Дата рег-ции: Май 2013 Помог: 0 раз(а)	Всем привет ! У меня форма добавления статей на сайт. Все норма работает на локалке. На сервере он тоже добавляет статьи, но только если в форме нет html тегов. То есть я вставляю в форму например путь до изображения <img src='img/article/yfp.jpg'>. Если в форме не присутствует html, то все нормально. В чем причина ребят, кто в курсе ? PHP: скопировать код в буфер обмена // Добавление Статей if(isset($_POST[add])){ $cat = "article"; $name = trim($_POST[name]); $title = trim($_POST[title]); $description = trim($_POST[description]); $full_description = trim($_POST[full_description]); $date = trim($_POST[date]); if($cat=="" or $name=="" or $title=="" or $description=="" or $full_description=="" ) { $info_add = "Поля не заполнены"; }else{ foreach($_FILES['file']['name'] as $k=>$f) { if (!$_FILES['file']['error'][$k]) { if (is_uploaded_file($_FILES['file']['tmp_name'][$k])) { if (move_uploaded_file($_FILES['file']['tmp_name'][$k], "../img/article/".$_FILES['file']['name'][$k])) { $img1 = $_FILES['file']['name'][0]; $img2 = $_FILES['file']['name'][1]; $img3 = $_FILES['file']['name'][2]; $path = "img/article/$img1"; $path2 = "img/article/$img2"; $path3 = "img/article/$img3";}}}} if($img2==""){unset($path2);} if($img3==""){unset($path3);} $add = mysql_query("INSERT INTO kontent(cat,name,title,description,full_description,img,img2,img3,date) VALUE('$cat','$name','$title','$description','$full_description','$path','$path2','$path3','$date')"); if(!$add){ $info_add = "Ошибка"; }else{ $info_add = "<center style='color:red;'>Сатья успешно добавлена</center>"; header("Refresh:1;url=index.php"); } }}

Мелкий	Отправлено: 24 Сентября, 2013 - 18:43:39
Активный участник Покинул форум Сообщений всего: 11926 Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург Помог: 618 раз(а)	Типичный безобидный эффект SQL-инъекции. Экранирование где? Почему работает на локалке - видимо, у вас древней версии php и включены магические кавычки. ----- PostgreSQL DBA

miniaka	Отправлено: 24 Сентября, 2013 - 18:46:40
Новичок Покинул форум Сообщений всего: 60 Дата рег-ции: Май 2013 Помог: 0 раз(а)	Мелкий пишет: Экранирование где? Можно подробнее, что именно нужно экранировать ?

VestCoastman	Отправлено: 24 Сентября, 2013 - 19:31:13
Посетитель Покинул форум Сообщений всего: 374 Дата рег-ции: Дек. 2010 Помог: 3 раз(а)	get и post запросы mysql_real_escape_string($_POST[...])

esterio	Отправлено: 24 Сентября, 2013 - 19:38:40
Активный участник Покинул форум Сообщений всего: 5025 Дата рег-ции: Нояб. 2012 Откуда: Украина, Львов Помог: 127 раз(а)	Простите меня конешно, но тут сплошной говнокод. По существу 1. $_POST['add'] - кавички надо использовать 2. как сказали више нужно екранировать данные которые йдут в запрос 3. mysql драйвер считаеться устаревшым и вместо него рекомендуеться mysqli или PDO

Поиск в теме | Версия для печати

Страниц (1): [1]

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« Вопросы новичков »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.