Get - odbieranie z adresu strony i pobieranie danych z MYSQL

Question

Witajcie

Znów mam pytanie, a wiem, że u Was mogę szukać pomocy. Nakierujcie mnie. Mam kod jak poniżej. Strona ma w nagłówku (wysyłane z cennik.php) "http://localhost/mobidoktor/cennikserwis.php?firma=Apple&model3=iPad&add=Prześlij"

Teraz tak mam w sql Iphone x4 i Ipad x2 (bo są różne usługi). Chciałbym wyświetlić je na stronie. Pobieram sobie z adresu strony gdzie model3 to np. Ipad. Gdy zrobię  

$mysqli->query("SELECT * FROM cennikmobi10") 

to listuje mi wszystkie, a jak zrobię

 $mysqli->query("SELECT * FROM cennikmobi10 where model3=$id "); 

 to wyrzuca mi błąd

"Warning: mysqli_fetch_array() expects parameter 1 to be mysqli_result, boolean given in C:\xampp1\htdocs\mobidoktor\cennikserwis.php on line 69"

Konia z rzędem kto mi pomoże

<?php
if (isset($_GET['model3']) )

{
            $id = $_GET['model3'];
            $result2 = $mysqli->query("SELECT * FROM cennikmobi10 where model3=$id "); //wywołanie artykułu
            $result = $mysqli->query("SELECT * FROM cennikmobi10");
            while ( $article = mysqli_fetch_array($result2) )
             {
  
      echo '<h3>' . $article['brand2'] . '</h3>' ; 
     echo '<br>'.  $article['price_b2c'] . '<br>' .  $article['price_b2b'] ;
    echo '</div>';
}

            }
?>

 

Answer 1

Poczytaj o SQL injection bo właśnie stworzyłeś piękną dziurę do tego. Zainteresuj się PDO i binduj parametry.

Comments

Póki co nie ma tego na serwerze - tworzę na localhost. Poczytam i sprawdzę.

---

Czyli rozumiem, że lepiej jest wysłać dane nie za pomocą GET, a na przykład za pomocą POST. I mam szukać dalej. Dobrze rozumuje?

---

W dobrą stronę idę?

<?php
if (isset($_POST['model3']) )

{
            $id = $_POST['model3'];
            $result2 = $mysqli->prepare("SELECT * FROM cennikmobi10 where model3 = :id "); //wywołanie artykułu
           // $result = $mysqli->query("SELECT * FROM cennikmobi10");
          //  print_r($result2['model3']);
            while ( $article = mysqli_fetch_array($result2) )
             {
  
      echo '<h3>' . $article['brand2'] . '</h3>' ; 
     echo '<br>'.  $article['price_b2c'] . '<br>' .  $article['price_b2b'] ;
    echo '</div>';
}

            }
?>

 

---

mysqli nie pozwala na  nazywanie parametrów bindowanych. Czyt. dokumentację.

Answer 2

Zbinduj parametry w zapytaniu dla artykułu 

Bindowanie masz w dokumentacji, szukaj "php mysqli bind param" w Googlu -> 1 link i przykład oraz ta tableka:

Type specification chars

Character	Description
i	corresponding variable has type integer
d	corresponding variable has type double
s	corresponding variable has type string
b	corresponding variable is a blob and will be sent in packets

 

Comments

Pomogło - Twój pierwszy pomysł, źle zrobiłem execute.

Ale w bazie sql nie widać, żeby coś zapisywało.

---

Pokaż jeszcze formularz.

---

Już znalazłem - zapisuje i działa.Zmieniłem configbase (według Twojej podpowiedzi) i wywaliło błąd. Zacząłem naprawiać i nawet datę mi wstawia. WIELKIE DZIĘKI :)

---

Mój "config" to był ten drugi fragment kodu, pierwszy go ładował za pomocą require.

Include ostani raz używałem... 5 lat temu ;) Teraz mam composera i robię jeden require w całej aplikacji, resztę piszę w sposób obiektowy.

Spróbuj się zainteresować tematem gdy skończysz robić aplikację taką jak masz obecnie:

Może na początek coś mniejszego:

 composer + slim + twig.

Ale to gdy skończysz swoje dzieło.

---

Jestem jak najbardziej za, ale na tę chwilę robię pokazówkę dla firmy, a potem będę ją ulepszał.