Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: Замена переменных в url

PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

На главную страницу форума

Главная

Помощь

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

Замена переменных в url

Форумы портала PHP.SU » PHP » Программирование на PHP » Если скрипт не работает (Модераторы: OrmaJever, Саныч)

Страниц (1): [1]

Без описания

Поиск в теме | Версия для печати

Dezmonds	Отправлено: 20 Мая, 2011 - 11:59:34
Новичок Покинул форум Сообщений всего: 49 Дата рег-ции: Май 2011 Помог: 0 раз(а)	Многоуважаемые, помогите разобраться... абсолютно не знаю как это называется и как с этим бороться... есть ссылка PHP: скопировать код в буфер обмена <a href='./articles-item.php?id=%s&table=recipes_japan'> В url Допустим следующее. articles-item.php?id=1&table=recipes_japan в articles-item.php PHP: скопировать код в буфер обмена if (isset($_GET['table'])) {$table = $_GET['table'];} if (!isset($table)){$table = "news_japan";} $id_result = mysql_query("SELECT id FROM $table",$db); Логика такая, что если есть переменная table тогда вытаскиваем данные с таблицы которая указана в url. Проблема в следующем, как реализовать, чтобы если пользователь ввел неверное значение допустим просто изменил url(пусть будет случайно) и вместо articles-item.php?id=1&table=recipes_japan написал articles-item.php?id=1&table=recipes_japans Если будет ошибка в url тогда и в articles-item.php будет ошибка. Mysql будет выдавать ошибку чтения базы.. Помогите разобраться пожалуйста ----- Колян! Я надыбал макароны!

EuGen	Отправлено: 20 Мая, 2011 - 12:02:05
Профессионал Покинул форум Сообщений всего: 9095 Дата рег-ции: Июнь 2007 Откуда: Berlin Помог: 707 раз(а)	Сделайте обработку приходящих от пользователя данных. Например, создайте массив допустимых значений и проверяйте по нему. Если пользователь предает значение, которого нет в массиве - либо сообщать об ошибке, либо брать значение по-умолчанию. Пример такой: PHP: скопировать код в буфер обмена //имена таблиц заменить на свои $rgTables=array('table0', 'table1'); $sDefault='table0'; $sTable=(isset($_GET['table'])&&in_array($_GET['table'], $rgTables))?$_GET['table']:$sDefault; //далее Ваши запросы с использованием в качестве имени таблицы уже $sTable ----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

Viper	Отправлено: 20 Мая, 2011 - 12:19:35
Активный участник Покинул форум Сообщений всего: 4555 Дата рег-ции: Февр. 2007 Откуда: Симферополь Помог: 98 раз(а)	Все же проверка входных данных тут уместнее чем замена. ----- Список фильмов с описанием, блекджеком и... для Joomla? -> https://киноархив[dot]com Демо нового движка для сайта php.su -> php[dot]su, проект на гитхабе

Dezmonds	Отправлено: 20 Мая, 2011 - 12:22:54
Новичок Покинул форум Сообщений всего: 49 Дата рег-ции: Май 2011 Помог: 0 раз(а)	Спасибо большое, смысл понятен, только почему то если скажем пользователь напишет вместо PHP: скопировать код в буфер обмена http://.../articles-item.php?id=1&table=recipes_japan http://.../articles-item.php?id=1&table= Тогда выдает ошибку чтения БД, PHP: скопировать код в буфер обмена <?PHP include("admin/db.php"); if (isset($_GET['table'])) {$table = $_GET['table'];} if (!isset($table)){$table = "news_japan";} $id_result = mysql_query("SELECT id FROM $table",$db); //имена таблиц заменить на свои $rgTables=array('news_japan', 'articles_japan', 'blogs_users', 'recipes_japan', 'recipes_world'); $sDefault='news_japan'; $table=(isset($_GET['table'])&&in_array($_GET['table'], $rgTables))?$_GET['table']:$sDefault; //далее Ваши запросы с использованием в качестве имени таблицы уже $sTable if (!$id_result) { echo "<p> Запрос на выборку данных из базы не прошел.Пожалуйста сообщение администратору: "; exit(mysql_error()); } if (mysql_num_rows($id_result) > 0) { $id_myrow = mysql_fetch_array($id_result); } else {echo "<p>Информация по запросу не может быть извлечена. В таблице нет записей.Пожалуйста сообщение администратору: </p>"; exit();} if (isset($_GET['id'])) {$id = $_GET['id'];} if (!isset($id)){$id = $id_myrow['id'];} if (isset($_GET['page_name'])) {$page_name = $_GET['page_name'];} if (!isset($page_name)){$page_name = "Новости Японии";} $result = mysql_query("SELECT * FROM $table where id = '$id'",$db); if (!$result) { echo "<p> Запрос на выборку данных из базы не прошел.Пожалуйста сообщение администратору: "; exit(mysql_error()); } if (mysql_num_rows($result) > 0) { $myrow = mysql_fetch_array($result); $new_view = $myrow["view"] + 1; $update_view = mysql_query("UPDATE $table SET view = '$new_view' WHERE id = '$id'",$db); } else { echo "<p>Информация по запросу не может быть извлечена. В таблице нет записей.Пожалуйста сообщение администратору: </p>"; exit(); } ?> (Отредактировано автором: 20 Мая, 2011 - 12:24:17) ----- Колян! Я надыбал макароны!

EuGen	Отправлено: 20 Мая, 2011 - 12:25:17
Профессионал Покинул форум Сообщений всего: 9095 Дата рег-ции: Июнь 2007 Откуда: Berlin Помог: 707 раз(а)	Потому что проверку имени таблицы нужно помещать до запроса, в этом её смысл. ----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

Dezmonds	Отправлено: 20 Мая, 2011 - 12:28:01
Новичок Покинул форум Сообщений всего: 49 Дата рег-ции: Май 2011 Помог: 0 раз(а)	EuGen Cпасибо большое Вам!!!! Что то я устал такую глупость сморозил ) Спасибо! (Добавление) Еще один вопрос. Почему все отлично работает если я захожу с url /articles-item.php?id=10&table=news_japan (спокойно меняю значение table и все ок) А вот если захожу допустим с articles-item.php?id=1&table=articles_japan и пробую меня значение, тогда выдает опять же ошибку чтения бд (А ТОЧНЕЕ! Выдает ошибку : якобы в таблице нет записей!) Вообще очень странно! Помогите разобраться. есть таблички "news_japan", "articles_japan", "blogs_users", "recipes_japan", "recipes_world" с articles-item.php?id=10&table=news_japan articles-item.php?id=7&table=recipes_world articles-item.php?id=7&table=blogs_users все работает. в плане сам массив. А почему, то с articles_japan и recipes_japan не работает. Например перехожу на страничку articles-item.php?id=7&table=recipes_japan пишет ошибку. Хотя табличка есть и записи в ней тоже. (Отредактировано автором: 20 Мая, 2011 - 13:13:08) ----- Колян! Я надыбал макароны!

Alex_pac	Отправлено: 20 Мая, 2011 - 15:15:56
Новичок Покинул форум Сообщений всего: 41 Дата рег-ции: Май 2011 Помог: 0 раз(а)

EuGen	Отправлено: 20 Мая, 2011 - 15:18:26
Профессионал Покинул форум Сообщений всего: 9095 Дата рег-ции: Июнь 2007 Откуда: Berlin Помог: 707 раз(а)	Dezmonds пишет: Хотя табличка есть и записи в ней тоже. Но, быть может, в ней нет поля id ? ----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

Dezmonds	Отправлено: 20 Мая, 2011 - 15:41:46
Новичок Покинул форум Сообщений всего: 49 Дата рег-ции: Май 2011 Помог: 0 раз(а)	проблема в том, что поле есть... (Добавление) Alex_pac пишет: жесть какая. любой хакер сможет Ниндзя получить доступ к вашей базе через sql инъекции Подскажите как сделать иначе ? более правильнее ----- Колян! Я надыбал макароны!

EuGen	Отправлено: 20 Мая, 2011 - 15:56:31
Профессионал Покинул форум Сообщений всего: 9095 Дата рег-ции: Июнь 2007 Откуда: Berlin Помог: 707 раз(а)	Почитайте лучше вот http://phpfaq[dot]ru/debug ----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

Dezmonds	Отправлено: 20 Мая, 2011 - 17:09:14
Новичок Покинул форум Сообщений всего: 49 Дата рег-ции: Май 2011 Помог: 0 раз(а)	Почитал, попробовал. ничего из этого не вынес для данной ситуации.. Есть база, есть 5 таблиц, в которых есть поля. В чем проблема я так и не понял. почему 3 поля работаю, а 2 нет... не знаю ----- Колян! Я надыбал макароны!

Поиск в теме | Версия для печати

Страниц (1): [1]

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« Если скрипт не работает »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.

Powered By MySQL

Powered by Nginx

Powered by ExBB FM 1.0 RC1. InvisionExBB