Bardzo wielka prośba (php)

[marmat00 1]

Potrzebuję w ciągu godziny działający skrypt. Czy poprawi ktoś go (będę bardzo wdzięczny)

 

 <?php
$link = mysql_connect("localhost", "root", "root")
or die("Nie udało się połączyć: " . mysql_error());
 mysql_select_db('test', $link)
or die ( mysql_error());

     	$sql = "INSERT INTO test
               	(1,
               	2,
               	3,
               	4,
               	5,
               	6,
               	7,
               	8,
               	9,
               	10
               	)
             	VALUES
               	('" . $_GET['1'] . "',
               	'" . $_GET['2'] . "',
               	'" . $_GET['3'] . "',
               	'" . $_GET['4'] . "',
               	'" . $_GET['5'] . "',
               	'" . $_GET['6'] . "',
               	'" . $_GET['7'] . "',
               	'" . $_GET['8'] . "',
               	'" . $_GET['9'] . "',
               	'" . $_GET['10'] . "')";



$result = mysql_query($sql)
 	or die("Niepoprawne zapytanie: " . mysql_error());


?>

 

i wywala takie coś:

Niepoprawne zapytanie: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '1, 2, 3, 4, ' at line 2

[MiSi3kK 16]

Daj liczby 1,2,3 itp. w ``.

 

Ten skrypt to jakaś porażka

[marmat00 1]

Wiem potrzebuję go na szybko:

 

 

<form action="test2.php?1=2=3=4=5=6=7=8=9=10=" method="get">

<CENTER>

<TABLE border="1" color=>

<TR>

<TD>xx</TD>

<TD><input type="text" name='1"></TD>

</TR>

<TR>

<TD>xx</TD>

<TD><input type="text" name="2"></TD>

</TR>

 

<TR>

<TD>xx</TD>

<TD><input type="text" name="3"></TD>

</TR>

<TR>

<TD>xx</TD>

<TD><input type="text" name="4"></TD>

</TR>

 

<TR>

<TD>xx</TD>

<TD><input type="text" name="5"></TD>

</TR>

 

<TR>

<TD>xxs</TD>

<TD><input type="text" name="6"></TD>

</TR>

 

 

<TR>

<TD>xx</TD>

<TD><input type="text" name="7"></TD>

</TR>

 

 

<TR>

<TD>xx</TD>

<TD><input type="text" name="8"></TD>

</TR>

 

<TR>

<TD>xx</TD>

<TD><input type="text" name="9"></TD>

</TR>

 

<TR>

<TD>xx</TD>

<TD><input type="text" name="10"></TD>

</TR>

 

</TABLE>

 

 

 

 

<TD><input type="submit" value="Wyślij">

</TD>

 

</form>

 

</CENTER>

[DawPi 49]

Co to w ogóle ma być za nonszalancja? Jak toto coś ma działać? Chcesz, by działał, a nie napisałeś jak.

[marmat00 1]

wpisujesz pola w formularzu, zawartość jest przesyłana metodą GET do test2.php i wstawiana do MySQL.

[regdos 1848]

A po h... przepisujesz ze zmiennej $_POST do zmiennych jeżeli z tym nic nie robisz ?

[xorg 693]

Filtracji dużo tu widzę... ;d

[xorg 693]

Z czystej ciekawości, czemu $Id w apostrofach dałeś a resztę bez?

[DawPi 49]

Damian, nie obraź się, ale piszesz skrypty tak, jak prowadziłeś swój hosting.

[regdos 1848]

w $zapytanie ???? czy gdzie bo nie rozumiem

 

Chodzi mi o wszystkie: $Id = $_POST['Id'];

 

Przecież przy INSERCIE możesz użyć $_POST['Id'], apostrofy nic nie dadzą bo i tak rekord się nie dopisze, bo kolumny są Decimal. Generalnie ten skrypt to kiszka.

[xorg 693]

bo kolumny są Decimal

więc śmiało jako podstawową formę (i raczej wystarczającą) filtracji wystarczy użyć intval();

[DawPi 49]

Nie muszę być Twoim klientem, by czytać opinie innych ludzi, po wypowiedziach których widzę, że są specjalistami w tym, co robią, a na każdym kroku wytykają Ci dziecinne błędy. Tego nie zaprzeczysz.

 

Nie muszę być również Twoim klientem, by wyrobić sobie zdanie o Tobie.

 

I wreszcie: to publiczne forum, więc mogę pisać o wszystkim i o wszystkich, a takie prośby, które w oczy kolą, na nic się nie zdają dopóki Cię nie obrażam lub nie atakuję słownie.

A Twój opryskliwy ton, w stosunku do mojej nieprzychylnej opinii o Tobie, tylko utwierdza mnie w przekonaniu słuszności moich osądów nt. Twojej osoby.

 

I tak nawiasem już: mam ten luz, że nie prowadzę żadnego hostingu ( bo się nie znam i nie chcę), że nie zarzucisz mi atakowania konkurencji.

 

Pozdrawiam i więcej luzu. Widziałem, że życie Cię nie oszczędza, więc poniekąd rozumiem Twoją agresję, ale życzę pogody ducha na każdy dzień.

[kafi 2425]

a miałeś u mnie usługi, że piszesz banialuki ?

Nie trzeba mieć było u ciebie usług, żeby stwierdzić, jak baardzo mocno stawiasz na szeroko pojęte bezpieczeństwo. Chociażby wspominany kiedyś twój "posiadający dziury w sofcie" switch

Tak samo tutaj. Jak już pisać kod, to można by zapewnić jakiś chociażby prymitywny poziom.

A tak na koniec - to prościej chyba by było wykorzystać PDO z bindowaniem parametrów/wartości.

Kod niewiele dłuższy, a za to znacznie ładniejszy i bezpieczniejszy

 

PS: O ile sytuacji, w której podsyłasz niezabezpieczone posty do query, to jeszcze może by uszło, ale w połączeniu z kodem mysql_query($zapytanie) or die(mysql_error()); to cóż. Każde dziecko zrobi bardzo ładny sql injection dochodząc w miarę szybko do pełnej struktury bazy.

[xorg 693]

Serwer shared był bezpieczny, ba nawet bezpieczniejszy od serwerów shared (XXX firmy znanej wszystkim nie powiem jakiej) co potwierdził mi pewien ktoś na gg po testach.

Atak jakiejś firmy nie jest dobrym pomysłem na obronę.

[MiSi3kK 16]

Kod na pewno nie na poziomie osoby, która w stopce ma link do panelu kontroli serwerów gier...

Czasami lepiej nie pisać nic niż pisać na takim poziomie. W dodatku szybciej byłoby bez tych niepotrzebnych zmiennych, tak jak napisał regdos.

 

Poza tym MySQL nie ma typu number.

 

Ogólnie nie widzę sensu wstawiania takich kodów na forum, jeszcze ktoś skopiuje i będzie wesoło