Sziasztok!
Ránéznétek erre, hogy ebben hol van, hol lehet a bibi, mert nem boldogulok vele:
rosziKód:mysql_query("UPDATE felhasznalok SET szallitas_irszam = '".$_POST['szallitas_irszam']."' WHERE (id=".$user2['id'].")")
Printable View
Sziasztok!
Ránéznétek erre, hogy ebben hol van, hol lehet a bibi, mert nem boldogulok vele:
rosziKód:mysql_query("UPDATE felhasznalok SET szallitas_irszam = '".$_POST['szallitas_irszam']."' WHERE (id=".$user2['id'].")")
milyen hibauzenetet kapsz? az adatokat nem artana kicsit escape-lni mielott atadod a mysql-nek.
Nagyon hülye vagyok, mert ebben a kódban nem volt hiba csak egy <script> a php kódon belül maradt. Escapelni hogyan is kell? :pff)
Attol fugg milyen adattipusrol beszelunk. String-et mysql_real_escape_string()-el tudod peldaul, integer-t viszont erdemes (int) -el konvertalni. De a legjobb, ha PDO-t es prepared statementeket hasznalsz.
PHP kód:
mysql_query("UPDATE felhasznalok SET szallitas_irszam = '".mysql_real_escape_string($_POST['szallitas_irszam'])."' WHERE (id=".(int)$user2['id'].")")
Köszönöm. Egy kissé el kell még mélyülnöm ebben a témában.
Ezt kizárólag az adatbázis műveleteknél javallott, vagy más esetben is érdemes használni, ha user adatokkal dolgozok? (pl. egy sima POST átvételnél is?)
Sose bizz meg a felhasznalotol kapott adatban, de igazabol ez esetenkent valtozik. Adatbazismuveletek elott mindenkeppen escape-lni ajanlatos. De inkabb nezd meg a PDO-t es prepared statement-eket: PHP: PDO - Manual. Sot, megjobb ha egy framework-el kezdessz el dolgozni, mert ott sokmindent a kezedbe adnak: http://yiiframework.com