Как сделать редактирование и исправить ошибку?

Question

[Minningt]

Помогите разобраться с ошибкой. Нажимаю на запись из таблицы, загружаются инпуты соответствующими значениями, но при нажатии на кнопку "Редактировать"(сохранения изменений), данные из инпутов очищаются и изменения даже не вносятся для записи..
HTML КОД ссылки на редактирование записи

echo "<td><a href='/admin/edit.php?edit_id=".$ID."'class='edt'>Edit</a></td>"

HTML код страницы edit.html

<form name="form" id="" method="post" action="<?php echo DOCROOT; ?>admin/edit.php" enctype="multipart/form-data">
 <tr><th>Цена, грн</th><td><input type="text" name = "Price" class="input" value="<?php echo $row['Price']; ?>" /></td></tr>          
 <tr><th>Артикль</th><td><input type="text" name = "Article" class="input" value="<?php echo $row['Article']; ?>" /></td></tr>
/* + там список*/
<input type="submit" name="edit" value="Редактировать" />
    </form>

Php код страницы edit.php

if(isset($_GET['edit_id'])){
    $edit_id=$_GET['edit_id'];
    db_connect();
    $query="SELECT*FROM Processors WHERE ID='".$edit_id."'";
    $result=mysql_query($query)or die(mysql_error());
    $row=mysql_fetch_assoc($result);
    db_close();
 
    if(isset($_POST['edit'])){
        
    db_connect();
    $querys='UPDATE Processors SET Price = '.$_POST['Price'].', Article = '.$_POST['Article'].' WHERE ID='.$edit_id;
    $result=mysql_query($querys)or die("Error:".mysql_error());
 
    db_close(); 
   header("location: edit.php?edit_id=".$_GET['edit_id']);
}

Answer 1

[Defman21]

SELECT*FROM
Мда.

Answer 2

[Shaks]

По сабжу:
enctype="multipart/form-data" -
читаем и осознаем что это такое тут - https://ru.wikipedia.org/wiki/Multipart/form-data

Ваш код называется - быдлокод, совсем не DRY и имеет sql уязвимости. Времена php3 уже давно прошли. Начните с книг. По пхп есть очень много качественной литературы.

if(isset($_GET['edit_id'])){ # а если переменная isset, но пустая? т.е. domain.com/?edit_id
    $edit_id=$_GET['edit_id']; # А если $_GET['edit_id'] это массив? или например равна любому символу отличному от цифры. 
    db_connect();  # тут все понятно ) лол
    $query="SELECT*FROM Processors WHERE ID='".$edit_id."'"; #Почему имя таблицы с большой буквы? Почему ID верхним регистром? 
    $result=mysql_query($query)or die(mysql_error()); # посетителю показываем ошибку чтобы ему было удобнее производить взлом ?)
    $row=mysql_fetch_assoc($result);
    db_close();# правильно, закрываем соединение с базой, чтобы через 2 строчки ниже, заново открыть) Умница!
 
    if(isset($_POST['edit'])){
        
    db_connect(); # открываем.. опять))
    $querys='UPDATE Processors SET Price = '.$_POST['Price'].', Article = '.$_POST['Article'].' WHERE ID='.$edit_id; # опять нет проверок входящих переменных, опять не общепринятое написание имён таблиц в БД.
    $result=mysql_query($querys)or die("Error:".mysql_error()); # показываем ошибку. 
 
    db_close(); 
   header("location: edit.php?edit_id=".$_GET['edit_id']);
}

Это ужас!! )

1. Все входящие переменные нужно проверять. Как их присутствие, так их тип (строка/массив), так и их значение
2. Ошибки нужно логировать в файл, а не показывать в браузере

Comments

[Defman21]

Будет хуже, если edit_id будет равен чему-то типа "1'; DROP TABLE Processors; -- "

[Shaks]

угу. я написал про то что имеются sql уязвимости.. Но забыл тыкнуть носом в разборе самого кода )

[Defman21]

Анатолий: в комментариях к коду еще забыл "почему SELECT * FROM слитно".

[Shaks]

Defman21: а почему бы и нет?)

[Shaks]

Анатолий K: <?php echo blablabla; ?> Соглашусь только если имеешь ввиду echo "тут хтмл код". А если ты про <?=$a?>, то тут зависит от того включен ли short_opentags в пхп.ини.

[Defman21]

Анатолий K: сколько раз ставил пых 5.5 под дебианом - short_open_tags либо закомментирован, либо в Off.

[Shaks]

Анатолий K: а вот нифига. Он чаще выключен чем включен. Я наоборот приучил себя везде писать <?php echo а не <?= как учил изначально, потому что не всегда есть доступ к php.ini. А писанина должна работать везде. Собственно чего и вам советую (всмысле юзать <?php )

[Shaks]

возможно так и есть. Но не везде стоит 5.4, и не везде она включена. А писанина должна работать везде. Изза этого может сорваться покупатель скрипта, или это лишний раз вынесет тебе мозг когда будешь свою писанину устанавливать у клиента (ну у меня такие причины были использовать долгую конструкцию начального тэга)

[Defman21]

Анатолий K: да тот я смотрел, просто неправильно написал, потому что поставил и забыл) Можешь сам поставить из репов пых и проверить)

[Defman21]

Анатолий K: говорю же, что в репах пых 5.5 (лично у меня). Так что... чертовы нло!

[Minningt]

Shaks: а что за счет такого?
db_connect();
if($_SERVER['REQUEST_METHOD'] == 'POST'){
$query = "UPDATE `Processors` SET `Price` = '" . $_POST['Price'] . "', `Article` = '" . $_POST['Article'] . "' WHERE `ID` = " . (int) $edit_id;
mysql_query($query) or die(mysql_error());
header("location: edit.php?edit_id=" . (int) $_GET['edit_id']);
}else{
$query = "SELECT * FROM `Processors` WHERE `ID` = " . (int) $_GET['edit_id'];
$result = mysql_fetch_assoc(mysql_query($query)) or die(mysql_error());
}
db_close();

[Shaks]

Minningt: ты ничего не понял ) Ну в принципе и не должен был, была только критика и стёб по сути )
Кароч, проблема 1я и самая важная - это наличие sql инъекций. Ты не делаешь валидацию (проверку) входящих данных, а сразу пихаешь их в sql запрос.
Уязвимости это отдельная тема для разговора, весьма обширная. Я просто кину тебе пару ссылок.
клац - habrahabr.ru/post/148151
клац - https://ru.wikipedia.org/wiki/%D0%92%D0%BD%D0%B5%D...

далее. Подключение к базе данных нужно делать не внутри твоих ифов гдето глубоко, и то открывать его то закрыать, а делать его один раз при инициализации скрипта

далее, советую вообще отказаться от текущего подхода с работой базой данных. Подобный гавнокод уже давно устарел. Советую взглянуть на ORM какой нибудь, например ActiveRecord, или же воспользоваться PDO habrahabr.ru/post/137664 (для тебя это лучший вариант).
Далее, забудь вобще про функциональный подход. Отсутствие полноценного ООП у пхп в начальных версиях породило кучу гавнокодеров, которые обучили еще большую других гавнокодеров. Я не говорю что все нужно делать на ООП, иногда это как из пушки по воробьям лупить, но тем не менее DRY (don't repeat your self) нужно всегда стараться придерживаться. Начинай учить ООП кароч. Классы, абстракции, интерфейсы, наследование, инкапсуляция, полиморфизм и тд и тп. Все это нужно знать понимать и применять, аминь. )

[Minningt]

Shaks: я понимаю, что мой код - не шик, даже гавно. По поводу sql инъекций я знаю:) PDO надо учить. Но сайт для локального применения. Эти дыры потом доработаются. Мне нужно было проверить работоспособность. Вроде всё работает, но ужасно медленно. Может быть это работа OpenServer'a такая медленная

[Shaks]

Minningt: по сабжу то хоть разобрался? "enctype=multipart/form-data" убрал? всё заработало?)

[Minningt]

Shaks: да, убрал, запахало:) Просто я нашёл код этого "enctype=multipart/form-data" и решил тоже написать. В примере оно работало, а у меня не получилось. Не понятно

[Minningt]

Shaks: у меня стояло enctype=multipart/form-data потому что у меня есть поле для отправки файла (input type="file"). Для каждой записи нужно будет прикрепить картинку, которая соответствует этой записи
htmlbook.ru/html/form/enctype

[Minningt]

Кстати, обратно вернул и также само всё работает