walidacja formularza

Question

Nie wiem dlaczego ale wysypuje się błędem 

HTTP ERROR 500

 problemem jest to 

if (ctype_alnum($tytul))

po wpisaniu w polu tytuł jakiegoś tytułu zawierającego " ' " np. "Grey's"  mam błąd jak wyżej 

Jak temu zaradzić 

Comments

Poprawka drobna to nie to powoduje problem

Problem pojawia siew zapytaniu do bazy

Pisze że błąd składni , ale dlaczego ?
Skoro "Grey's" jest przesyłane jako string i zapytanie ma sprawdzić czy jest w bazie czy nie

Dlaczego wysypuje się błedem i jak temu zaradzić ?

Answer 1

Użyj prepared statements. Rozwiąże to przy okazji problemy z bezpieczeństwem.

Comments

$tytul=$db->prepare("SELECT * FROM tabela where tytul='$tytul'");
      	$tytul->bindValue(':tytul',$tytul,PDO::PARAM_STR);
      	$tytul->execute();

tak wygląda zapytanie , więc raczej jest poprawne (tak mi się wydaje )

Zmieniłem to zapytanie na to które podesłałeś ze stackoverflow

Ale nadal ma problem z tym " ' "

syntax to use near '' ?' at line 1 

 

---

No nie jest poprawne, bo używasz apostrofów do określenia granicy stringa, po czym dajesz taki znak w walidowanym wyrazie. SQL interpretuje to jako koniec stringa, a dalsze wyrazy są po prostu błędem.

---

@franz, jako zmienną w zapytaniu określasz :tytul, ale w samym zapytaniu masz '$tytul'.

Zapytanie powinno wyglądać tak:

$tytul=$db->prepare("SELECT * FROM tabela where tytul=:tytul");
$tytul->bindValue(':tytul',$tytul,PDO::PARAM_STR);
$tytul->execute();

 

---

to było to
Dziękuje

---

Przy okazji

Jest możliwość zweryfikować taki ciąg nie używając wyrażeń regularnych

1997-2007

chodzi o to że mają być tylko cyfry ale może być między nimi ten minus czy inaczej myślnik

---

Dałoby się po prostu sprawdzić poszczególne znaki, niemniej wykorzystanie wyrażenia regularnego jest o wiele prostsze w tym przypadku.

---

Powinienem więc zapisać coś takiego ?

if (!preg_match('^[0-9]*-[0-9]*$^', $rok))

czy taki zapis wystarczy?

---

Bardziej /^\d+-?\d+$/.

---

zapisałem tak 

if(!preg_match('/^\d+-?\d+$/.',$rok))

Ale nie przepuściło  1997-2007

---

if(!preg_match('/^\d+-?\d+$/',$rok))

Ta kropka to po prostu kropka.

---

teraz działa DZIĘKUJE 

Ale mam prośbę , mógł byś wytłumaczyć to wyrażenie 

Wkleiłem je i działa ale co to naprawdę jest ? 

Takie proste wyrażenia to powiedzmy że rozumiem ale nie takie ja kto 

---

\d oznacza cyfry, + – dana wartość ma wystąpić raz lub więcej, ? – dana wartość ma wystąpić raz lub wgl, ^ i $ – początek i koniec ciągu.

Zatem to wyrażenie oznacza ciąg rozpoczynający się od co najmniej jednej cyfry, po której następuje jeden lub zero myślników oraz co najmniej jedna cyfra.

---

dziękuje

---

Tomek, a powiedz mi co sądzisz o sformułowaniu zero myslnikow? Pytam, bo jakiś czas temu robiłem małe szkolenie z regexp j zwrócono mi uwagę, że takie sformulowania to masło maślane i nie po polskiemu :) pamiętam, że w helionie też mialem dyskusję o tym z korektą ale jestem ciekaw Twojego zdania jako polonisty programisty, który rozumie programistyczny sens tego sformułowania :)

---

Z punktu widzenia języka jest to sformułowanie może nie tyle niepoprawne, co bardzo "nieforemne". Też mnie drażni, ale równocześnie – jest w pełni komunikatywne i w kontekście socjolektu programistycznego poniekąd naturalne.1