[PHP] Proč nefunguje script ?

[Madara]

O SQL injection jsem něco četl, pěkná sviňárna. Jak tomu předejít ?

[HellCoder]

Vsechny hodnoty nejdriv nechat projet pomoci mysql_real_escape_string

[CrazyC0de]

Přesněji všechny hodnoty, které budou v nějakém SQL dotazu, či příkazu.

Jmenuje se to escape, jak už název té funkce napovídá, můžeš escapovat i odkazy, třeba urlencode, nebo při výpise uživatelského vstupu - htmlspecialchars a u databáze - mysql_real_escape_string

[HellCoder]

Mala demonstrace...

[CrazyC0de]

Demonstrace čeho ?

[Madara]

Jasný, prostě jsi načetl z db moje data a můžeš je upravovat

[HellCoder]

Nene... Jen pouziti komentare takze dotaz se provede bez overeni hesla. Mas to jen v loginu.

[Madara]

Tak teď mi nemaká tohle :
<?php
require_once "db.php";
$ide = $_SESSION["UserId"];
$query = mysql_query("SELECT * FROM `uzivatele` WHERE `id`='".$ide."'");
$noveheslo = mysql_fetch_array($query);
$old = md5($_POST['old']);
if ($noveheslo['heslo'] == $old){
$nove = $_POST['new'];
$upravene = md5($nove);
$query1 = mysql_query("UPDATE `uzivatele` SET `heslo`='".$upravene."' WHERE `id`='".$ide."'");
header("location:./index.php?page=charakter");
} else {
echo "Zadané heslo je špatné !";
}

?>

[Madara]

Nefunguje. Nic nehlásí.

Kód: Vybrat vše

<?php
error_reporting(-1);
require_once "db.php";
$ide = "Kapsář";
$query =  mysql_query("SELECT * FROM `uzivatele` WHERE `prace`='".$ide."'");          $Vysledek = mysql_fetch_array($query);
         $Pocet=0;         
         while($Vysledek = mysql_fetch_array($query)){
$Pocet++;
$coins = ($Vysledek["coins"]+10);
  $query1 = mysql_query("UPDATE `uzivatele` SET `coins`='".$coins."' WHERE `id`='".$Vysledek["id"]."'");
var_dump($query);
var_dump($query1); 

[CZechBoY]

kde končí ten while?

[Madara]

Už jsem to ukončil, teď to píše resource(3) of type (mysql result) NULL

[CZechBoY]

napiš novej kod a co to má dělat