MB/8 Club Poland - Klub i forum miłośników samochodów Mercedes-Benz

Czesc

Panowie mam problem i już zgłupiałem. Albo ja robie jakiś potwornie trywialny błąd i już się tak głęboko gdzieś zasugerowałem, albo czegoś nie wiem. Moze coś czegoś [poprostu nie obsługuje a ja o tym nie wiem. Panowie looknijcie prosze.

puszczam do bazy nastepujace zapytanie w transakcji z php:

$query_result=mysql_query("
                   begin;
                insert into users (user_id,login, first_name,surname) VALUES (".$wiersz[0].",'".$_POST['login']."','".$_POST['firstname']."','".$_POST['surname']."');
                insert into passwords (user_id,pass) VALUES (".$wiersz[0].",md5('".$_POST['pass1']."'));
                commit;
");

Zero błędu, zero ostrzeżenia, ale dane się nie wpisują. Transakcja prawdopodobnie zadziałała gdyż w bazie nie pojawia się żaden z 2 rekordów.
Za chwilę podmieniam $query_result=mysql_query na echo aby sobie podejrzeć co za zapytanie mi sie wygenerowało. W przegladarce naciskam F5 aby wszystko poszlo na tych samych danych z POST i wyswietla mi sie zapytanie. Nastepnie kopiuje je i uruchamiam w kliencie phpMyAdmin i..... wszystko dziala calkowicie poprawnie. Acha zapomnialem jeszcze dodać że oczywiscie obie tabele są typu InnoDB

Pytanie:
Dlaczego z poziomu phpmyadmina to dziala a z poziomu php nie ??

Z góry dzieki

PS.
Kozystam z zestawu serwerów easyPHP

PS2.
Wiem że na tym forum to chyba juz tylko kwestii porad miłosnych nie poruszaliśmy wiec liczę na to ze ktos znajacy PHP mi cos podsunie

_________________
pozdrawiam Andrzej
Mercedes Benz 450 SLC - było
MGB 1965
GMail: anwojcik (at) gmail.com

Jako, że mam nieco doświadczenia w tej kwestii zapytam może w ten sposób: a znak kończący komendę jest ustawiony na ';'? To pierwsze, co przyszło mi do głowy.
Drugie, co mi się nasuwa, to: zapytanie jest w " więc jest parsowane, a zawiera znak końca linii interpretowany również przez parser PHP, czyli ; -> a może zmień ciapki zamykające i otwierające zapytanie na ' i escape'uj te ' które są w środku zapytania.
A po drugie: nie wiem, czy to jest docelowe zapytanie, czy tylko wklejasz taki przykład "na brudno", ale jeśli to jest docelowe, to mocno wskazane jest zrobienie jakiegokolwiek escape'owania i zabezpieczania danych wejściowych, zwłaszcza przekazywanych w POST/GET (zakładam, że wpisywane przez użytkownika gdzieś w serwisie) przed wszelkimi zapędami typu SQL Injection czy też Union Select.

_________________
http://pulpecik.pl/" onclick="window.open(this.href);return false; - Co dziś zjesz dobrego?
_________________
Ex MB C123 '80 300CD
Ex MB C124 '87 230CE
FSM 126el '95

Próbowałem zaminay pazurów z cudzysłowiami i nie działa ;/
A co do parsowania danych wejsciowych to oczywiscie masz racje ale i tak ten formularz jest już za logowaniem wiec jesli user tam juz jest to ma i tak prawie wszystkie mozliwosci. Ale oczywiscie jesli mialo by to byc wystawione do netu to musialo by byc sprawdzane.

Ale i tak dzieki <br>Dodano po 57 minutach.:<br> Dało radę
Trzeba było wysyłać zapytania w osobnych wywołaniach funkcji ;/

function transaction($queries)
{
   $err = false;
   mysql_query('BEGIN');
   
   while ($query=each($queries))
   {
     $err=mysql_query($query[1]);
   }
   if(!$err) {
       mysql_query('ROLLBACK');
       return 0;
   } else {
       mysql_query('COMMIT');
       return 1;
   }
}

_________________
pozdrawiam Andrzej
Mercedes Benz 450 SLC - było
MGB 1965
GMail: anwojcik (at) gmail.com

To takie przyzwyczajenie, pierwsze na co patrzę w kodzie to zabezpieczenia przed podstawowymi atakami. Widziałem już kilka "profesjonalnie" napisanych serwisów, do których byłem proszony o analizę "co się stało, że zniknęło i mam stronę z krzaczkami"




No tak, za małe mam doświadczenie w MySQL5 - rzadko piszę rzeczy wymagające transakcji czy też innych "fjuczerów" zawartych w 5. Póki co 4 stabilniejsza

_________________
http://pulpecik.pl/" onclick="window.open(this.href);return false; - Co dziś zjesz dobrego?
_________________
Ex MB C123 '80 300CD
Ex MB C124 '87 230CE
FSM 126el '95

Wogole ja gdyby nie to że przeważnie programujac w PHP musisz sie zdać na to co admin ci serwuje na docelowym serwerze (a jest to przewaznie PHP4 z MySQL5) to wogole bym tego gówna jakim jest MySQL nie tykał. Napisałem z kumplem pracę inżynierską nt. porównania MySQL i Postgresa i tak naprawde to PostgreSQL w niczym (no moze dalikatnie poza predkosciom) nie ustepuje MySQL a za to ma prawie wszystkie zabawki które maja "duzi bracia" jak Oracle czy DB2. No choćby to co powyżej to przecież jakaś porażka, co za różnica czy dostanie to w jednym zapytaniu czy w kilku.

_________________
pozdrawiam Andrzej
Mercedes Benz 450 SLC - było
MGB 1965
GMail: anwojcik (at) gmail.com

Spróbowałbym w ten sposób:

____________________________________________________________
//Przypisanie zmiennych tablicowych do zmiennych zdefiniowanych
$u_id = $wiersz[0]; //INT
$login = $_POST['login']; //VARCHAR(xx) lub TEXT
$f_name = $_POST['firstname']; //VARCHAR(xx) lub TEXT
$s_name = $_POST['surname']; //VARCHAR(xx) lub TEXT
$pass = $_POST['pass1']; //VARCHAR(xx) lub TEXT

//Tam gdzie pole jest INT można pominąć apostrofy ($u_id)
$query="insert into users (user_id, login, first_name, surname) VALUES ($u_id, '$login', '$f_name', '$s_name')";
$result = mysql_query($query);

$query_passwd = "insert into passwords (user_id,pass) VALUES ($u_id, md5('$pass'))";

//lub
$query_passwd = "insert into passwords (user_id,pass) VALUES ($u_id, PASSWORD('$pass'))";


$result_passwd = mysql_query($query_passwd);

_______________________________________________________


W niektórych wersjach PHP zamiast "$_POST['cos_tam']" może być konieczne użycie "$HTTP_POST_VARS['cos_tam']. Osobiście używam tej drugiej opcji.

Przytoczony przez Ciebie sposób mógł nie zadziałać ze względu na użycie apostrofów (') zarówno w definicji kwerendy, jak również w zmiennych sesyjnych oraz POST (tablicowych).

_________________
C123 230C '77 - Puchata
W116 450SEL '79 - Pani Bulgot

Patro: Szczerze powiedziawszy to nie masz racji w obu kwestiach.
1) Twoj kod oczywiscie dziala tylko że w nim nie używasz transakcji a to o to sie w moim problemie rozchodzilo
2) Z tego co wiem to ' i " sa zamienne. A z całą pewnoscia powinno sie używać ' w indeksach tablic (choc i bez nich także dziala).

_________________
pozdrawiam Andrzej
Mercedes Benz 450 SLC - było
MGB 1965
GMail: anwojcik (at) gmail.com

Z tego co wiem, bo wspomniałeś o bezpieczeństwie, to sie zope'a używa do bezpiecznego skryptowania, albo pythona... a PIEjczPi, to z sendmailem może jeszcze nie wygra, ale sitowie troche jest. ;p

Prędkość prędkością, do małych gównianych, nie wymagających zapytań to oczywiście MySQL jest szybszy, ale PostgereSQL, to już jest wyczesana baza z ficzerami... a na dodatek na licencji BSD, a za MySQL'a trzeba płacić jak się go komercyjnie wykorzystuje.

To z tego co kiedyś czytałem to kewsja ustawień w php.ini, ale nie dam sobie członków żadnych odkrajać. ;p

.... are you sure? ;p Mi się zawsze wydawało, że text zamkniety w ' jest wrzucany dalej dosłownie, a zamknięty w ", jak zawiera jakieś zmienne, to zmienia je na wartości tych zmiennych.

<i>harrier kiedyś pisał interface do OpenLDAP'a w PHP i wspomina to jako pasjonujące zadanie... ;p</i>

Pozdrawiam,

_________________
Konrad Lapsz / harrier
[ex]: W126 280SE, S210 E320 CDI, X166 GL350 BlueTEC
[in]: S211 E320 CDI, W639 Viano 3.0 CDI

Tu jestes w błędzie. MySQL jest całkowicie darmowy. Jeśli chcesz mozesz wykupić licencję komercyjną która daje Ci support, ale na 100% nie masz takiego obowiązku w żadnym przypadku.




Szczerze powiem żeście mnie zastrzelili w tym momencie. Zawsze używałem ich całkowicie zamiennie i mogłem nawet nie zwrócić uwagi na to o czym piszecie. Sprawdze

_________________
pozdrawiam Andrzej
Mercedes Benz 450 SLC - było
MGB 1965
GMail: anwojcik (at) gmail.com

harrier ma rację, jest dokładnie tak jak napisał, dlatego sugerowałem zamianę jednego na drugie

_________________
http://pulpecik.pl/" onclick="window.open(this.href);return false; - Co dziś zjesz dobrego?
_________________
Ex MB C123 '80 300CD
Ex MB C124 '87 230CE
FSM 126el '95

Czyli takie dwa stringi sa jednoznaczne??

$zmienna = 'Mercedes';

echo('Marka '.$zmienna.' jest najlepsza ;-D');
echo("Marka $zmienna jest najlepsza ;-D");

_________________
pozdrawiam Andrzej
Mercedes Benz 450 SLC - było
MGB 1965
GMail: anwojcik (at) gmail.com

Dokładnie tak. :) Przecież to łatwo sprawdzić, wrzucasz ten kod do pliku *.php zamknięty w <php> (nie wierze, że nie wiesz jak to się robi ;p) wrzucasz na serwer i odpalasz z przeglądarki. Ja u siebie odpaliłem to w terminalu poleceniem:

i dostałem wynik:


Pozdrawiam,

_________________
Konrad Lapsz / harrier
[ex]: W126 280SE, S210 E320 CDI, X166 GL350 BlueTEC
[in]: S211 E320 CDI, W639 Viano 3.0 CDI

W pierwszym przykładzie możesz zastosować ' i " zamiennie:
echo('Marka '.$zmienna.' jest najlepsza ;-D');
=
echo("Marka ".$zmienna." jest najlepsza ;-D");

Dodatkowo możesz zastosować coś takiego:
echo("Marka %s jest najlepsza", $zmienna);

Dlaczego???
Mały test.

echo ("Ile procent wolnego czasu poświęcasz swojej Mercedes?");

$zmienna = "99%";
echo ("Swojej Mercedes poświęcam $zmienna wolnego czasu"); //wywali errora
echo ("Swojej Mercedes poświęcam " . $zmienna . " wolnego czasu"); //również wywali errora

echo ("Swojej Mercedes poświęcam %s wolego czasu", $zmienna); //OK

_________________
C123 230C '77 - Puchata

W116 450SEL '79 - Pani Bulgot

Patro: Ale tutaj akurat, o ile dobrze pamiętam, chodzi o użycie znaku '%' w kodzie html generowanym przez PHP. :)

Pozdrawiam,

_________________
Konrad Lapsz / harrier
[ex]: W126 280SE, S210 E320 CDI, X166 GL350 BlueTEC
[in]: S211 E320 CDI, W639 Viano 3.0 CDI

Dokłdnie tak. Założyłem poprostu, że PHP będzie wykorzystywany w WWW, a niedawno poprawiałem stronkę, w której pierwotnie znaki specjalne były powodem wysypywania się strony.

_________________
C123 230C '77 - Puchata

W116 450SEL '79 - Pani Bulgot