Запрос SQL на добавление записи?

Question

[Геннадий Сорокопудов]

Добрый день, товарищи. Имеется рабочий запрос на добавление записи в БД. Почему рабочий? Потому что он работал, пока не увеличилось количество переменных.
Собственно сам запрос:

$name = $_POST['name'];
$content = $_POST['content'];
$price = ['price'];
$sale = ['sale'];
$thumb = $_POST['Thumbnail'];
$smallContent= $_POST['smallContent'];

$query = "INSERT INTO `orders` ( `name`, `content`, `price`, `sale`, `image`, `smallContent` ) VALUES ('$name', '$content', '$price', '$sale', '$thumb', '$smallContent')";
// запрос на добавления записи//
mysqli_query($link, $query) or die(mysqli_error($link));

if(!$query) {
	echo "<h1 style='text-align: center'>Ошибка добавления товара</h1>";
} else {
	echo "<h1 style='text-align: center'>Товар добавлен</h1>";
}

?>

Вот что он мне отвечает:
"Warning: Array to string conversion in C:\Users\users\Desktop\xamp\htdocs\public_html\admin\create-order.php on line 74"

Говорит Предупреждение: преобразование массива в строку в C:\Users\users\Desktop\xamp\htdocs\public_html\admin\create-order.php в строке 74.
Может ли на это повлиять количество переменных?

Comments

[Everything_is_bad]

открой нормальный учебник и прочитай как правильно подставлять данные в запрос, об этом уже давно из каждого утюга вещают

[Геннадий Сорокопудов]

Everything_is_bad, вот спасибо, ответил)))) что не так с запросом-то? Или воздух погонять?

[Антон Антон]

Геннадий Сорокопудов,

[Александр]

Похоже что одна из переменных это массив, который нужно или преобразовать в строку или извлечь нужный элемент.

[Антон Антон]

\Users\users\Desktop\xamp\htdocs\public_html\admin\create-order.php в строке 74.

а какая строка из приведенного кода является строкой номер 74?

[Everything_is_bad]

Геннадий Сорокопудов, еще раз, почитай нормальный учебник, раз ты доки не способен читать, ответ дан давно, откуда вы вообще такие вылазите. Ну и сразу, ты ответ от комментария отличаешь?

[Геннадий Сорокопудов]

Everything_is_bad, злой вы какой-то)

[Геннадий Сорокопудов]

Антон Антон, 74 это сам запрос. По своей тупости не правильно указал прием данных, товарищ поправил меня, мой косяк. Из-а того что написал $price = ['price'] , а не $prise = $_POST['price'] запрос выдел переменную как элемент массива, из за этого ошибка. Спасибо товарищу Антон Антон. Почему-то не увидел я это))))

[AUser0]

Ну что-ж, а теперь, коллеги, сидим и лениво ждём, когда хакеры наткнутся на этот сайт, и обнаружат уязвимые SQL-запросы, и автор вопроса с горящей попой примчится за разъяснениями.

[Геннадий Сорокопудов]

AUser0, Не примчится)) работаю на Localhost. Для начала нужно же понять как оно работает, верно? Вы же не сразу с роддома сели за компьютер и начали ООП понимать?)

Answer 1

[Антон Антон]

кажется, вместо

$price = ['price'];
$sale = ['sale'];

надо бы

$price = $_POST['price'];
$sale = $_POST['sale'];

а сам запрос переделать хотя бы на prepared statements https://www.php.net/manual/en/mysqli.quickstart.pr... чтобы не создавать уязвимости на пустом месте

заодно почитать про xss и про https://www.php.net/manual/en/function.strip-tags.php если потом этот контент выводится напрямую

Comments

[Ипатьев]

А если выводится и "напрямую" и на кривую, то что делать? Именно поэтому экранируют не заранее, а при выводе. Причём не через strip_tags(), а через htmlspecialchars().

[Антон Антон]

Ипатьев,

Причём не через strip_tags(), а через htmlspecialchars().

Это смотря чего надо добиться. например может быть на той стороне визивиг какой-то, который умеет теги форматирования делать, которые надо сохранить. Если плэин текст, то да, нужен htmlspecialchars. А еще может быть маркдаун, который допускает теги, или bb-code...
в общем по ситуации смотреть надо.

[Ипатьев]

Во-первых вот именно, "смотря чего". А не советовать strip_tags() как универсальное решение.
Во-вторых, конкретно strip_tags в отношении конкретно XSS полезна примерно никак. Рекомендую раз в жизни открыть ссылочку из своего поста и прочитать, что там написано ;-)
В-третьих, читаем ещё раз и осмысливаем: если потом этот контент выводится, то потом его и экранируем, перед выводом. Именно потому что "смотрят по ситуации", а ситуации бывают разные.

Answer 2

[Verkans]

Классно, что вы начали изучать программирование!
Это важный шаг, и вы уже делаете что-то интересное — супер!

Позвольте дать несколько советов по вашему коду:

Возможные вопросы, которые могут у вас возникнуть:
1. Почему все пишут, что меня могут взломать?
Это правда, и дело вот в чём:
На backend’е (серверной стороне) нельзя доверять входящим данным. Любой пользователь может отправить что угодно, даже вредоносный SQL-код.

Ваш SQL-запрос:

$query = "INSERT INTO orders (...) VALUES ('$name', ...)";
Работает, но он уязвим для SQL-инъекций. Это одна из самых распространённых дыр в безопасности сайтов.

Решение: используйте подготовленные запросы (prepared statements) с mysqli или PDO. Это несложно, и вас это спасёт в будущем! Так же добавьте валидацию данных.

2. Как правильно задавать вопросы?
Чем больше информации вы даёте, тем точнее вам смогут помочь:

Какая у вас версия PHP?

Какую базу данных используете? (MySQL? PostgreSQL?)

Как вы запускаете код? (локальный сервер, хостинг, XAMPP?)

Как повторить вашу проблему?

Антон Антон уже ответил на ваш вопрос)

https://roadmap.sh/php — отличная карта навыков для изучения PHP.
https://htmlacademy.ru/blog/php/sql-injections - тут про вашу проблему с безопасностью

Comments

[Геннадий Сорокопудов]

Добрый день, вы правы, меня могу взломать с такими запросами кривыми. Так как я учусь, я использую Localhost, сайт в сеть не попадет. Так сказать подопытный. Пока такими запросами работаю в дальнейшем. В дальнейшем буду переходить на mysqli::prepare(). Спасибо огромное Вам за развернутый комментарий