Почему вот этот код не работает? Где тут проблема?

Question

[Дмитрий]

if (isset($_GET['add-entry'])){
    if ($_POST['submit']==true) {
        $name = $_POST['name'];
        $ur_name= $_POST['ur_name'];
        $startdate = $_POST['startdate'];
        $globalinput = $_POST['globalinput'];
        $globaloutput = $_POST['globaloutput'];

        $mysqli->query("INSERT INTO projects VALUES(0,'$name','$ur_name','$startdate','$globalinput','$globaloutput')") or die ("Your bunny wrote, ne dobavlyaet! >_<");
    }

Код вытаскивает из формы все введенные данные, и вставляет их в базу в том порядке, в котором они и должны идти. Но дело в том, что запрос и не выполняется и не выдает die.
Вот код формы:

echo '
    <br />
    <form method="POST" action ="/admin/admin.php";
     <label>Название</label>
    <input type="text" name="name"><br />
    <label>Юридическое название</label>
    <input type="text" name="ur_name"><br />
    <label>Дата запуска проекта</label>
    <input type="date" name="startdate"><br />
    <label>Общий приход</label>
    <input type="text" name="globalinput"><br />
    <label>Общий расход</label>
    <input type="text" name="globaloutput"><br />
    <input type="submit" name="submit" value="Добавить"><br />
    </form>
    ';

Comments

[Дмитрий]

Если делать запрос в базу, то все ок. Добавяляет как надо. А из скрипта - не хочет.

[Дмитрий]

<?php if (isset($_GET['add-entry'])): ?>
<br />
<center>
    <form method="POST" action ="/admin/admin.php";
    <label>Название</label>
    <input type="text" name="name"><br />
    <label>Юридическое название</label>
    <input type="text" name="ur_name"><br />
    <label>Дата запуска проекта</label>
    <input type="date" name="startdate"><br />
    <label>Общий приход</label>
    <input type="text" name="globalinput"><br />
    <label>Общий расход</label>
    <input type="text" name="globaloutput"><br />
    <input type="submit" name="submit" value="Добавить"><br />
    </form>
</center>
<?php endif ?>
<?php
    if ($_POST['submit']==true) {
        $name = $_POST['name'];
        $ur_name= $_POST['ur_name'];
        $startdate = $_POST['startdate'];
        $globalinput = $_POST['globalinput'];
        $globaloutput = $_POST['globaloutput'];

        $mysqli->query("INSERT INTO projects VALUES(0,'$name','$ur_name','$startdate','$globalinput','$globaloutput')") or die ("Your bunny wrote, ne dobavlyaet! >_<");
}
    ?>

И как сказал Nc_Soft - "Нельзя такой код писать, он подвержен sql инъекции."

"INSERT INTO projects VALUES(0,'$name','$ur_name','$startdate','$globalinput','$globaloutput')"

Answer 1

[Rsa97]

Что будет в вашем запросе, если ему передать

$globaloutput = "0'); DROP TABLE IF EXISTS `users`;--"

Сделайте лучше через bind, так гораздо безопаснее и не надо вручную эскейпить строки.

$req = $mysqli->query("INSERT INTO projects VALUES(0, ?, ?, ?, ?, ?)");
$req->bind_param("issss", $name, $ur_name, $startdate, $globalinput, $globaloutput);
$req->execute();

Comments

[Дмитрий]

Спасибо.

Answer 2

[Евгений]

Нельзя такой код писать, он подвержен sql инъекции.
Посмотрите что получается из
"INSERT INTO projects VALUES(0,'$name','$ur_name','$startdate','$globalinput','$globaloutput')" вместо запроса просто выведите на экран
и вот этого не видно нигде $_GET['add-entry']

Comments

[Дмитрий]

возможно Я не понял вопроса, но вывод: 1.

[Михаил Шатилов]

@Nc_Soft Не утруждайтесь, человеку все равно..

[Дмитрий]

@iproger Человек делает это для себя, просто ради практики. И на данный момент, пробуя возможности на локальном компьютере, безопасность особо не волнует. Будет необходимость - будет безопасность.

[Андрей]

Так не бывает НИКОГДА. Если про это не думать "для практики", то привыкаешь об этом вообще не думать. Первая мысль про это случается только после инъекции.

[Михаил Шатилов]

@another_dream Зачем мне знать про ручник, ведь пока только практикуюсь.
Если человек не знает как правильно, тогда ладно, но если он знает и не делает (ведь он практикуется..), то это плохо. Главное, чтобы он не узнал свой код на говнокоде.ру

[Евгений]

Плохая это практика, человек практикуется, но делает это неправильно, а переучиваться гораздо сложнее чем учиться новому.

Answer 3

[Дмитрий]

В общем. Все сделал. Вот как надо было

<?php if (isset($_GET['add-entry'])): ?>
<br />
<center>
    <form method="POST" action ="/admin/admin.php";
    <label>Название</label>
    <input type="text" name="name"><br />
    <label>Юридическое название</label>
    <input type="text" name="ur_name"><br />
    <label>Дата запуска проекта</label>
    <input type="date" name="startdate"><br />
    <label>Общий приход</label>
    <input type="text" name="globalinput"><br />
    <label>Общий расход</label>
    <input type="text" name="globaloutput"><br />
    <input type="submit" name="submit" value="Добавить"><br />
    </form>
</center>
<?php endif ?>
<?php
    if ($_POST['submit']==true) {
        $name = $_POST['name'];
        $ur_name= $_POST['ur_name'];
        $startdate = $_POST['startdate'];
        $globalinput = $_POST['globalinput'];
        $globaloutput = $_POST['globaloutput'];

        $mysqli->query("INSERT INTO projects VALUES(0,'$name','$ur_name','$startdate','$globalinput','$globaloutput')") or die ("Your bunny wrote, ne dobavlyaet! >_<");
}
    ?>