mysql príkaz cez input text

atlox

Zdravím všetkých programátrov aj amaterov aj začiatočníkov (ako ja

)

Potreboval by som pomoc s tým, ako urobiť funkčný mysql_query príkaz tak, že keď ho napíšem do input text tak sa to urobí.... môže to byť aj cez textarea. V podstate ide stále o to jedno aby to správne fachalo... už som to viackrát rôznymi spôsobmi urobil ale neviem, či to robím správne (trochu ma metú aj tie \ lomítka.... PLS HELP

input bude vyzerat nejak takto

Kód: Vybrať všetko

<input type="text" name="vstup">

takze si nacitas premennu vstup

Kód: Vybrať všetko

$sql = $_GET['vstup'];

a vykonas query

Kód: Vybrať všetko

$result = mysql_query($sql);

samozrejme patricne osetrit nejakym DIE prikazom pri zlom vstupe

atlox

No to som práve vedel urobiť ale akosi mi to nefungovalo hlavne ak som to trochu kombinoval so spätnými lomítkami asi takto:

UPDATE users SET admin=\"1\" WHERE meno=\"atlox\"

potom ten príkaz nechce vykonať... a tuším, že bez tých lomítok to nešlo... apostrofy deto...

IgiPoP

nemusis davat spatne lomintka, v tomto pripade su absolutne zbytocne.
BTW. v sql dotazoch by sa nemali pouzivat uvodzovky (") ale apostrofy (')

Kód: Vybrať všetko

UPDATE users SET admin='1' WHERE meno='atlox'

atlox

moj zdrojový kód stránky query.php je takýto:

Kód: Vybrať všetko

<?php
include "hlava.php";
$sql = $_POST["sql"];

@$spojenie = mysql_connect($host, $user, $password);
if (!$spojenie):
  echo "Pripojenie k databáze zlyhalo...";
  break;
endif;
mysql_select_db($db);
?>

<form name="query" method="post" action="query.php">
<input type="text" name="sql" size="100"><br>
<input type="submit" value="Vykonaj!">
</form>

<?php
$udalost = mysql_query("$sql");
if (!$udalost) { echo "QUERY príkaz nebol uskutočnený!"; } else { echo "QUERY OK!"; }
mysql_close($spojenie);
include "peta.php";
?>

skúsil som do input text zadať

Kód: Vybrať všetko

UPDATE users SET admin='1' WHERE meno='atlox'

Kód: Vybrať všetko

update users set admin='1' where meno='atlox'

Kód: Vybrať všetko

UPDATE USERS SET ADMIN='1' WHERE MENO='atlox'

Kód: Vybrať všetko

UPDATE users SET admin=\"1\" WHERE meno=\"atlox\"

potom som skúšal aj uvodzovky pred a za celý príkaz a rozne kombinácie... a nič

IgiPoP

stacilo keby si si dal vypisat posielanu hodnotu a videl by si, kde je problem.

Kód: Vybrať všetko

...
$sql = str_replace("\\", "", $_POST["sql"]);
...

atlox

JASNÉ....

Do kELU VEĎ TO BOLA ÚPLNA HRAČKA

Vďaka za pomoc.... už to funguje.....

lammer

blah, kde je ten web? SQL Injection ako svina

rad pomazem dalsie weby uz som sa zas dlho nehral

lammer napísal:blah, kde je ten web? SQL Injection ako svina
rad pomazem dalsie weby uz som sa zas dlho nehral

asi niekde za htaccessom, tak sa vrat naspat ku kyblicku a lopatke

final

lammer napísal:blah, kde je ten web? SQL Injection ako svina
rad pomazem dalsie weby uz som sa zas dlho nehral

a hento je od kedy sql injection?

lammer

t0m4s3 napísal:asi niekde za htaccessom, tak sa vrat naspat ku kyblicku a lopatke

a? htaccess je problem len do doby kedy nezistis ze DES je na ko*ot a kyblicek s lopatkou hodis do kuta

priklad

Kód: Vybrať všetko

chcel som dat link kam to patri ale radsej nie, je to shop a nepotrebujem aby nejake kid to premazlo alebo co

stainw:BGRhhUHuOO0DU
je stainw:exhaust

a to je cely htaccess

old crypt s DESom

lammer

Finalway napísal:a hento je od kedy sql injection?

$sql = $_GET['vstup']; nemam co dodat
UNION SELECT papa
a to nehovorim o where = "$_GET['']" a podobnych kraskach

takych veci uz boloooooooo

lammer

jo btw realne k problemu co toto
Addshashes ala php manual
asi ma nikdy neprestane udivovat, ze ludia budu vymyslat vymyslene
ten manual nema php na nete len tak zo srandy

final

lammer napísal:$sql = $_GET['vstup']; nemam co dodat
UNION SELECT papa
a to nehovorim o where = "$_GET['']" a podobnych kraskach
takych veci uz boloooooooo

ale prosím ťa, však tam má voľný vstup hneď do vykonávacej funkcie, to sa vôbec nejedná o injekciu..
takých vecí už bolo, ale vidieť, že to nevieš porovnať

lammer

Finalway napísal:ale prosím ťa, však tam má voľný vstup hneď do vykonávacej funkcie, to sa vôbec nejedná o injekciu..
takých vecí už bolo, ale vidieť, že to nevieš porovnať

coze? nemam ponatia o akej "vyvolavacej funkcii" hovoris
co to je? nejaka novinka? uff asi som zaspal

final

aké máš dioptrie???

) zbehni k očnému..

lammer

Finalway napísal:aké máš dioptrie??? ) zbehni k očnému..

no pocuvam, aka je to teda funkcia?

final

vidieť, že ti ide o odbočenie z debaty, ale čo už.. keď si človek nalistuje na predošlú stranu, uvidí, že je to vyKonavacia, nie vyVolavacia

ale dobre, nechceš si to proste priznať, že si trepol sprostosť, ja ťa chápem mojko.. to nič, raz z toho vyrastieš..

lammer

Finalway napísal:vidieť, že ti ide o odbočenie z debaty, ale čo už.. keď si človek nalistuje na predošlú stranu, uvidí, že je to vyKonavacia, nie vyVolavacia

ale dobre, nechceš si to proste priznať, že si trepol sprostosť, ja ťa chápem mojko.. to nič, raz z toho vyrastieš..

ale co je aka ? nechapem, stale som nedostal odpoved na to co si na zaciatku povedal. ja som vobec do toho nestihol zasiahnut len som povedal ze cokolvek citat do sql pomocou "" je adios

gwixt

aj tak nechapem preco sa tu bavite o SQL injection ked ten kod je robeny prave na zadavanie akychkolvek SQL prikazov, uz je len na userovi ake query napise ......