Форум программистов
 
Контакты: о проблемах с регистрацией, почтой и по другим вопросам пишите сюда - alarforum@yandex.ru, проверяйте папку спам! Обязательно пройдите активизацию e-mail.

Вернуться   Форум программистов > Web > SQL, базы данных
Регистрация

Восстановить пароль
Повторная активизация e-mail

Ответ
 
Опции темы
Старый 07.02.2019, 23:23   #1
Equilence
Новичок
 
Регистрация: 07.02.2019
Сообщений: 2
Репутация: 10
Печаль Проблема с формой добавления комментариев!

Всем добрый день ! Ситуация такая: доделываю свой блог, уже решил, что сделал форму добавления комментария для юзера, а тут ПРИКОЛ - форма работает и пишет, что комментарий к артиклу добавлен! А на самом деле - коммент не появляется под статьей и даже в БД!!!
Вот сам код запроса :
Код:

mysqli_query($connection, "INSERT INTO `comments` (`author`,`nickname`,`email`,`text`,`pubdate`,`
                        articles_id`) VALUES ('".$_POST['name']."', '".$_POST['nickname']."', '".$_POST['email']."', '".$_POST[
                          'text']."', NOW(), '".$art['id']."')");

Уже советовали, что нельзя данные из формы вставлять напрямую в запрос, перед этим надо экранировать. Прочитал все доки, что нашел, но так и не понял нифига( Помогите !
* прикрепляю файл с ЦЕЛЫМ блоком формы, на всякий случай...
Вложения
Тип файла: txt Весь блок .txt (3.4 Кб, 0 просмотров)
Equilence вне форума   Ответить с цитированием
Старый 08.02.2019, 09:15   #2
ADSoft
Профессионал
 
Регистрация: 25.02.2007
Адрес: Татарстан
Сообщений: 3,338
Репутация: 914

icq: 303-206-418
skype: ad-soft.info
По умолчанию

сформируй строку запроса и выведи на экран посмотри что не так, попробуй его вручную в pma выполнить...

Код:

$sql = "INSERT INTO `comments` (`author`,`nickname`,`email`,`text`,`pubdate`,`
                        articles_id`) VALUES ('".$_POST['name']."', '".$_POST['nickname']."', '".$_POST['email']."', '".$_POST[
                          'text']."', NOW(), '".$art['id']."')";
echo $sql

и таки да - неэкранированые данные - с вводом в качестве имени какой нить иньекции типа vasa'peta как минимум уронят запрос с ошибкой .. как максимум - могут привести к чему угодно
ADSoft вне форума   Ответить с цитированием
Ответ

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Проблема с формой manula Microsoft Office Excel 4 13.05.2014 15:07
Проблема с формой Полотенчик Microsoft Office Access 0 29.04.2012 11:51
проблема с формой for_dante C/C++ Базы данных 3 22.02.2012 18:28
проблема с формой... Євгеній Бєлік Общие вопросы Delphi 1 13.11.2011 22:40
Проблема с формой Underfinder Microsoft Office Access 3 03.03.2010 09:29


01:11.


Powered by vBulletin® Version 3.8.11
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.

RusProfile.ru


Справочник российских юридических лиц и организаций.
Проекты отопления, пеллетные котлы, бойлеры, радиаторы
интернет магазин respective.ru