/ Forside / Teknologi / Udvikling / PHP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
PHP
#NavnPoint
rfh 3959
natmaden 3372
poul_from 3310
funbreak 2700
stone47 2230
Jin2k 1960
Angband 1743
Bjerner 1249
refi 1185
10  Interkril.. 1146
Indsæt data til database fra tekstboks.
Fra : Nicolai


Dato : 22-07-10 08:58

<?php
mysql_connect("server", "username", "password") or
die(mysql_error());
mysql_select_db("database") or die(mysql_error());
?>
<?php
mysql_query("INSERT INTO blog (titel, indlaeg) VALUES ('echo
$_POST["navn"]', 'echo $_POST["alder"]')") OR DIE(mysql_error());
?>

Hvad er der i skriptet der ikke virker? Siden er helt hvid, når
jeg skriver det.

--
Vil du lære at kode HTML, XHTML, CSS, SSI, ASP eller ASP.NET?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

 
 
Krabsen (22-07-2010)
Kommentar
Fra : Krabsen


Dato : 22-07-10 09:17

Den 22-07-2010 09:58, Nicolai skrev:
> <?php
> mysql_connect("server", "username", "password") or
> die(mysql_error());
> mysql_select_db("database") or die(mysql_error());
> ?>
> <?php
> mysql_query("INSERT INTO blog (titel, indlaeg) VALUES ('echo
> $_POST["navn"]', 'echo $_POST["alder"]')") OR DIE(mysql_error());
> ?>
>
> Hvad er der i skriptet der ikke virker? Siden er helt hvid, når
> jeg skriver det.
>
Det er jo ikke mange oplysninger du giver, men umiddelbart undrer jeg
mig over dine echo-kommandoer?

med forbehold for manglende fnytter:

mysql_query("INSERT INTO blog (titel, indlaeg) VALUES
(".$_POST["navn"]."', '".$_POST["alder"]."')") OR DIE(mysql_error());

Birger Sørensen (22-07-2010)
Kommentar
Fra : Birger Sørensen


Dato : 22-07-10 10:02

Efter mange tanker skrev Krabsen:
> Den 22-07-2010 09:58, Nicolai skrev:
>> <?php
>> mysql_connect("server", "username", "password") or
>> die(mysql_error());
>> mysql_select_db("database") or die(mysql_error());
>> ?>
>> <?php
>> mysql_query("INSERT INTO blog (titel, indlaeg) VALUES ('echo
>> $_POST["navn"]', 'echo $_POST["alder"]')") OR DIE(mysql_error());
>> ?>
>>
>> Hvad er der i skriptet der ikke virker? Siden er helt hvid, når
>> jeg skriver det.
>>
> Det er jo ikke mange oplysninger du giver, men umiddelbart undrer jeg mig
> over dine echo-kommandoer?
>
> med forbehold for manglende fnytter:
>
> mysql_query("INSERT INTO blog (titel, indlaeg) VALUES (".$_POST["navn"]."',
> '".$_POST["alder"]."')") OR DIE(mysql_error());

Og der vil gå ca. 1½ minut, så er din database er injceret med snask -
hvis den overhovedet stadig eksisterer.
Input skal valideres, f.eks.
$navn = mysql_real_escape( $_POST[ 'navn']);
$alder = (integer)$_POST[ 'alder'];
mysql_query( "INSERT INTO blog (titel, indlaeg) VALUES '$navn',
'$alder'") OR DIE(mysql_error());

Birger

--
http://varmeretter.dk - billig, sund og hurtig mad
http://bbsorensen.dk



Birger Sørensen (22-07-2010)
Kommentar
Fra : Birger Sørensen


Dato : 22-07-10 10:07

Birger Sørensen forklarede den 22-07-2010:
> Efter mange tanker skrev Krabsen:
>> Den 22-07-2010 09:58, Nicolai skrev:
>>> <?php
>>> mysql_connect("server", "username", "password") or
>>> die(mysql_error());
>>> mysql_select_db("database") or die(mysql_error());
>>> ?>
>>> <?php
>>> mysql_query("INSERT INTO blog (titel, indlaeg) VALUES ('echo
>>> $_POST["navn"]', 'echo $_POST["alder"]')") OR DIE(mysql_error());
>>> ?>
>>>
>>> Hvad er der i skriptet der ikke virker? Siden er helt hvid, når
>>> jeg skriver det.
>>>
>> Det er jo ikke mange oplysninger du giver, men umiddelbart undrer jeg mig
>> over dine echo-kommandoer?
>>
>> med forbehold for manglende fnytter:
>>
>> mysql_query("INSERT INTO blog (titel, indlaeg) VALUES
>> (".$_POST["navn"]."', '".$_POST["alder"]."')") OR DIE(mysql_error());
>
> Og der vil gå ca. 1½ minut, så er din database er injceret med snask - hvis
> den overhovedet stadig eksisterer.
> Input skal valideres, f.eks.
> $navn = mysql_real_escape( $_POST[ 'navn']);
> $alder = (integer)$_POST[ 'alder'];
> mysql_query( "INSERT INTO blog (titel, indlaeg) VALUES '$navn', '$alder'") OR
> DIE(mysql_error());
>
> Birger

Og den rigtige hedder
mysql_real_escape_string( ...)
http://dk2.php.net/manual/en/function.mysql-real-escape-string.php

Birger

--
http://varmeretter.dk - billig, sund og hurtig mad
http://bbsorensen.dk



Søg
Reklame
Statistik
Spørgsmål : 177579
Tips : 31968
Nyheder : 719565
Indlæg : 6409073
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste