Problem z działeniem skryptu PHP wyciągającego dane z MySQL

Question

Witam,

tak jak w tytule mój skrypt php który stworzyłem czytając poradniki w internecie i na innych forach nie działa...

Przeglądarka po wejściu na tą podstronę wyświetla błąd:

The mmocraft.space page isn’t working

mmocraft.space is currently unable to handle this request.

HTTP ERROR 500

 

Tutaj skrypt, który po wejściu na niego wywala:

<?php
 
 require "test.php";
connection();

SELECT * FROM users WHERE nick = '$_POST[Nick]'

echo $Nick ;


?>

 

Comments

Wroc z pytaniem jak się czegoś nauczysz. Tymczasem zgłaszam bo pytanie nadaje się do kosza.

Answer 1

PLIKI

http://pastebin.com/1u4eE73U -Strona która ma wyświetlić wyniki

http://pastebin.com/LQTdbzV4 -Skrypt łączący z Bazą danych

http://pastebin.com/nKyU9fHX -Fragment strony który do tego wszystkiego prowadzi

Answer 2

1. To jest PHP a nie sieci komputerowe

2. może pokażesz zawartość pliku test.php?

3.

SELECT * FROM users WHERE nick = '$_POST[Nick]'

Do czego dajesz to zapytanie? Do zmiennej, funkcji czy do echo?

4. Gdzie definiujesz zmienną $nick?

5. Gdzie walidujesz dane z formularza?

Comments

MaciekM, ale i tak można coś tam dorzucić. Na Wikipedii masz nawet przykłady, włącznie z dorzuceniem DROP TABLE co chyba nie było by miłe ;) Fakt faktem, z resztą tam też to jest zaznaczone, że z poziomu PHP nie wyślesz do bazy dwóch zapytań w jednym query, ale i tak coś tam można wstrzyknąć. Jeśli nie aż tak poważnego jak DROP TABLE to manipulować SELECTem tak aby wyświetlił wszystko przez dodanie warunku typu 1=1. Po prostu zasada jest taka, że temu co przychodzi od użytkownika nie należy ufać i skoro można się zabezpieczyć to należy to zrobić.

Mateusz11, ja w dalszym ciągu czekam na wyjaśnienie tego od Ciebie. Nie żeby coś, ale dostałeś już ostatnio oficjalne ostrzeżenie od moderatora i teraz olewanie sobie administratora (nie pierwszy raz zresztą) chyba nie jest najlepszym pomysłem.

---

Kurdee, tamten skrypt jest na wprowadzanie wartości do bazy danych.

---

Ale bindowanie robi się identycznie.

• Zapytania nie wysyłasz przez query a przez prepare i w zapytaniu jakoś sobie oznaczasz to co chcesz przekazać np. :nick
• Później przez bindValue podczepiasz pod ten :nick jakąś zmienną
• Na koniec wykonujesz przez execute

I tylko tyle, bindowanie dokładnie tak samo jak tam jest pokazane, a pobieranie danych z bazy już wcześniej zrobiłeś.

---

Ale mi chodzi o to że tu jest jakieś dodawanie rekordów

---

@Awaluk Zakładając że na serwerze jest PHP7, to nie ma prawa działać, ale jak tak drugi raz sobie to przejrzałem, to error jakiś taki nie do mysql_* mój błąd sorry