Как правильно вставить данные в MySQL c помощью php?

Question

[Александр Середенко]

Создаю простенькую форму для регистрации. Post запрос выполняется, но не происходит вставка данных в базу данных. Ошибок никаких не выводит тоже.
Подскажите, что я делаю не так.

if (isset($_POST['name']) && isset($_POST['email'])){
            $userName = $_POST['name'];
            $email = $_POST['email'];
            $company = $_POST['company'];

            include '../template/sql-connect.php';

            $db_server = mysql_connect($db_hostname, $db_username, $db_password);

            if(!$db_server) { die("Query error"); }

          $query = "INSERT INTO users (name, email, company) VALUES" .
                 "('$userName', '$email', '$company')";

           if (!mysql_query($query, $db_server))
                 echo "INSERT failed: $query<br>" .
                 mysql_error() . "<br><br>";

            mysql_close($db_server);
        }

Answer 1

[Александр Середенко]

Спасибо всем за советы (полезные и не очень). Разобрался с MySQLi, и реализовал это дело так:

header("Content-Type: text/html; charset=utf-8");

        $userName = $_POST['name'];
        $email = $_POST['email'];
        $company = $_POST['company'];

        include_once '../template/sql-connect.php';

        $connection = new mysqli($db_hostname, $db_username, $db_password, $db_database);

        $query = "INSERT INTO `users` (`name`, `company`, `email`) VALUES ('$userName', '$company', '$email')";

        $result = $connection->query($query);

        $connection->close();

На данном этапе (я первый день учу пыху), мне такой реализации достаточно, не смотря на недостатки.

Comments

[FanatPHP]

прошелся по граблям на отличненько. молодец, все местные ламеры будут тобой гордиться

[Назар Мокринский]

НЕЛЬЗЯ вставлять данные полученные от пользователя без проверок в БД, по определению НЕЛЬЗЯ!!!
Читайте про подготовленные выражения и ручную обработку данных через mysqli_real_escape_string() в вашем случае.

[FanatPHP]

Назар Мокринский: ну сколько раз повторять, что mysqli_real_escape_string() не предназначена для защиты от инъекций, и не должна никогда использоваться для этих целей?

[Назар Мокринский]

FanatPHP: https://php.net/manual/ru/mysqli.real-escape-string.php
Почитайте описание функции и примеры, после этого если не напишете пример, который обойдет mysqli_real_escape_string при правильно заданном наборе символов в mysqli_set_charset - не флудите.

[FanatPHP]

Назар Мокринский: ОМГ, опять дети выступают, думая, что они самые умные. На сегодня богадельня закрыта, приходи завтра

[Назар Мокринский]

FanatPHP: Сам чушь пишешь иногда, что сам только что и доказал.

[FanatPHP]

Назар Мокринский: проблема в том, что я этот пример писал уже 100500 раз. Но самоуверенные неграмотные дети все равно не хотят ничего знать, кроме тупого видеокурса , который посмотрели в младенчечестве. При том что пример, который ты просишь, примитивный и очевидный: $id=mysqli_real_escape_string("5;DROP TABLE users"); $sql = "SELECT * FROM t WHERE id=$id"; Проблема, мальчик, не в примерах. проблема в тебе. Потому что даже получив пример, ты будешь вопить и юлить, рассказывая, что совсем не то имел в виду. Хотя это тот самый пример, который ты просил, и который на 100% подтверждает мои слова о том, что "mysqli_real_escape_string() не предназначена для защиты от инъекций, и не должна никогда использоваться для этих целей". Проблема в том, что ты - классический ламер, из палаты мер и весов: реальных знаний у тебя на копейку, но при этом ты считаешь, что все уже знаешь круче всех. Как бы вас всех отсюда повытравить, калек ментальных...

[Назар Мокринский]

FanatPHP: Судя по тому какая ошибка в примере я бы поспорил кто из нас двоих ламер.

[FanatPHP]

Назар Мокринский: я говорил именно об этом, что ты будешь юлить и цепляться за любую возможность :) Ок, если эта ошибка мешает тебе понять суть примера - вот исправленная версия: $id=mysqli_real_escape_string("5;DROP TABLE users"); $sql = "SELECT * FROM t WHERE id=$id";

[Назар Мокринский]

FanatPHP: LOL, исправил) Документацию читай, как минимум, сходу вижу 2 ошибки.
Ошибку сделать можно в любом случае - иногда проще, иногда сложнее. Но использование другого инструмента не позволит избежать всех ошибок, голову всё равно отключать не стоит.

[FanatPHP]

Назар Мокринский: Во-первых, не две, а одна, $id=mysqli_real_escape_string($db, "5;DROP TABLE users"); $sql = "SELECT * FROM t WHERE id=$id"; Во-вторых, то, что ты этот пример так и не смог понять говорит о тебе совсем уж плохо.

[Назар Мокринский]

FanatPHP: Ура, первую нашел! Я вот исправил вторую, чтобы долго не ждать правильного варианта:
$id=mysqli_real_escape_string($db, "5;DROP TABLE users"); $sql = "SELECT * FROM t WHERE id='$id'";
Так вот теперь вопрос касательно "не предназначена для защиты от инъекций, и не должна никогда использоваться для этих целей" - на каких входных данных можно обойти такой запрос?

[FanatPHP]

Назар Мокринский: это не ошибка. Ты, в довершение ко всему, не знаешь синтаксиса SQL. Я тебе помогу. $limit=mysqli_real_escape_string($db, "5;DROP TABLE users"); $sql = "SELECT * FROM t LIMIT $limit"; попробуй исправить эту "ошибку".

[Назар Мокринский]

FanatPHP: Нет, это грубая ошибка новичка. Исправить легко
$limit=intval("5;DROP TABLE users"); $sql = "SELECT * FROM t LIMIT $limit";
Можно ещё (int) использовать, это зависит от ситуации и того, что именно ожидается получить.

[FanatPHP]

Назар Мокринский: я так и думал, что ты попытаешься съехать с темы именно этим способом. С понтом ты забыл, что мы говорили про волшебые защитные свойства mysqli_real_escape_string, которые внезапно куда-то испарились :)

[FanatPHP]

Назар Мокринский: особенно доставляет фраза "выбор между intval и (int) зависит от ситуации и того, что именно ожидается получить" :) Твой багаж знаний просто неисчерпаем, гы гы

[Назар Мокринский]

FanatPHP: Нет никаких волшебных свойств, функция делает ровно то, что написано в документации, не больше и не меньше. Я просто правильно использую инструмент вместо бреда который пишете вы. Я понимаю что вы имеете ввиду своими примерами, вот только не понимаю что вы хотите доказать намеренно предлагая неправильные примеры использования.

[FanatPHP]

Назар Мокринский: я доказал тебе, дурашка, простую мысль, что mysqli_real_escape_string() не предназначена для защиты от инъекций, и не должна никогда использоваться для этих целей. Что характерно, в документации про использование её в этих целях тоже ничего не написано :) Но даже имея наглядное доказательство на руках, ты все равно не понял. Потому что с понималкой-то у тебя как раз и нету. Есть и другие причины, по которым ни в коем случае нельзя использовать эту функцию в целях защиты от инъекций. А надо использовать плейсхолдеры. Всему миру это давно известно, и только дремучие несчастные дети из рунета все так же советуют друг другу "обработку данных через mysqli_real_escape_string()". И будут советовать еще сто лет. Потому что не учатся. А не учатся потому что не хотят. А не хотят потому что и так считают себя самыми умными. И в итоге остаются дуркаками. Все, богадельня закрыта, тебе больше не подаю.

Answer 2

[FanatPHP]

1. Добавить в код две переменные, $db_db с именем базы данных и $db_charset с кодировкой своего сайта (скорее всего utf8)
2. исправить запрос. Либо вставлять все поля, какие есть в таблице, либо перечислить вставляемые поля явно.
3. Прочитать про PDO
4. в ../template/sql-connect.php поместить код

$dsn = "mysql:host=$db_host;dbname=$db_db;charset=$db_charset";
$opt = array(
    PDO::ATTR_ERRMODE            => PDO::ERRMODE_EXCEPTION,
    PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC
);
$db = new PDO($dsn, $db_user, $db_pass, $opt);

5. В обработчике формы написать

$query = "INSERT INTO users (username, email,company)VALUES (?,?,?)";
$db->prepare($sql)->execute([$userName, $email, $company]);

Answer 3

[index0h]

if (isset($_POST['name']) && isset($_POST['email'])){

// ГДЕ ВАЛИДАЦИЯ ВХОДЯЩИХ ДАННЫХ???

            $userName = $_POST['name'];
            $email = $_POST['email'];
            $company = $_POST['company'];

// 2015-ый на дворе, PSR-4!!!

            include '../template/sql-connect.php';

// mysql_conneсt - устарел, го ОЧЕНЬ не рекомендуется использовать

            $db_server = mysql_connect($db_hostname, $db_username, $db_password);

// Use PSR-2 Luke!
// die - используй только в случае крайней необходимости во время дебага, в остальных ситуациях - это как правило хрень постная.
// Если уже пишешь ошибку - пиши конкретно, что не так "Query error" это примерно тоже самое, что и "oops.."

            if(!$db_server) { die("Query error"); }

// Возьму ка я и отправлю в $POST['company'] = "'); DROP TABLE users;"
// И баляля будет
// Входящие данные обязательно должны быть И провалидированы И экранированы.

          $query = "INSERT INTO users (name, email, company) VALUES" .
                 "('$userName', '$email', '$company')";

           if (!mysql_query($query, $db_server))
                 echo "INSERT failed: $query<br>" .
                 mysql_error() . "<br><br>";

            mysql_close($db_server);
        }

Ну и общее: следует разделять вывод данных и бизнес логику приложения, почитайте про MVC

Comments

[FanatPHP]

входящие данные не надо экранировать. это идиотизм, от которого наконец-то отказались еще в версии 5.3. Ценность остальных заявлений примерно такая же.

[index0h]

> входящие данные не надо экранировать. это идиотизм, от которого наконец-то отказались еще в версии 5.3. ...
Воу, воу, воу, по легче.
Если запрос формируется через конкатенацию с входящими переменными как раз таки означает, что надо делать экранирование вручную. То, что это не нужно делать в случае использования плейсхолдеров в запросах - вовсе не значит, что само экранирование не происходит.

[index0h]

FanatPHP > Ценность остальных заявлений примерно такая же.
Ну, если заявление об явной SQL-инъекции не имеет ценности... ок, удачи вам и свежих бэкапов))

[FanatPHP]

Еще раз, по буквам. "экранирование вручную" делали в прошлом веке. Это не сработало. Если ты не в состоянии объяснить, как обеспечить защиту от инъекций, то не надо на эту тему и вякать.

[index0h]

... сколько желчи ...

[FanatPHP]

желчи бы не было, если бы это был какой-то сложный, дискуссионный вопрос. Но проблема защиты от инъекций давно закрыта. В теории. А на практике - кругом одни незнайки, которые и сами ничего не понимают и - что хуже всего - другим советы дают. Ты бы не о желчи печалился, а о собственной неграмотности лучше.

Answer 4

[Оптимус Пьян]

Вы в одно поле users вставляете 3 значения сразу.

$link = mysqli_connect('localhost','user','pass','basa') or die("Error " . mysqli_error($link));
if(mysqli_connect_errno())
    die('Ошибка соединения: '.mysqli_connect_error());
mysqli_set_charset($link, "utf8");

mysqli_query($link, "INSERT INTO `table` SET `username`='".$userName."', `email`='".$email."', `company`='".$company."' ") or die("Ошибка запроса: " . mysql_error());

Comments

[Александр Середенко]

Я обновил пример кода, вы не увидели, видимо
$query = "INSERT INTO users (name, email, company) VALUES" .
"('$userName', '$email', '$company')";

[Александр Середенко]

Насколько я понимаю, то users - это таблица, а то, что в скобках - поля.

[FanatPHP]

Дима, побойся бога, не пиши этот ад здесь.

[Оптимус Пьян]

Александр Середенко: кинул рабочий код, с mysql уже никто не работает mysqli или PDO

[Александр Середенко]

Дмитрий: Спасибо! Сейчас буду разбираться

[Оптимус Пьян]

FanatPHP: не ну инъекции конечно вручную надо будет обработать, а так да ладно тебе, PDO это ещё больший ад для новичка... А так ну что тут адового?

[FanatPHP]

Это не рабочий код, а кошмар говнокодера. Не надо думать, что приставив буковку i к названию функции, ты сразу стал программистом. По своей сути твой код остался прежним - все тем же адом из прошлого века.

[FanatPHP]

Но раз ты спросил, то основных проблем две: 1. or die(). 2 - передача переменных в запрос напрямую.

[Оптимус Пьян]

FanatPHP: or die() добавил, новичку пригодится, а "переменные в запрос" ну обработает выше, безрукий что ли )))

[FanatPHP]

Я понимаю, что говнокодеру, который учился по туториалам из прошлого века, очень трудно освоить правильные приемы работы. Но ты все-таки напряги остатки интеллекта и почувствуй разницу между "обработать" и "передать через плейсхолдеры". Плейсхолдер - это такой знак вопроса, можешь посмотреть у меня в коде.

[Оптимус Пьян]

FanatPHP: я знаю что это и они мне нравятся, а новичку на твоём месте я бы посоветовал именные плейсхолдеры

[FanatPHP]

да какая разница что тебе нравится, если ты в ответе пишешь фигню? На самом деле не надо врать: каждый пишет так, как привык. И если ты пишешь вот это вот всё, а 2 строчки кода PDO кажутся тебе "адом", то значит плейсхолдеры тебе именно что "нравятся". издалека. В теории. А на практике ты пишешь говнокод, потому что плейсхолдеры так и на смог освоить

[Оптимус Пьян]

FanatPHP: я осилил их и закончил проект на PDO и поэтому все следующие делал только на mysqli ))

[FanatPHP]

разумеется! Мы пришли к тому, с чего начали - mysqli позволяет тебе говнокодить по-старинке, поэтому ты ее и используешь.