Как передать переменную содержащую Html и выполнить SQL запрос?

Question

[Us59]

Нужно передать данные в ф-цию, которая делает SQL запрос. На текущий момент все заканчивается ошибкой в php, поскольку color:green находится в " кавычках, если поставить ', то работает но при этом SQL не выполняется из-за ' кавычки. Где решение?)

spoiler

foreach ($request as $value) {
if ($value["id"] == 1) {
$REPLY_1 = "DATA: " . $value["INFO"] . "<br>Details: <span style="color:green;">Good</span><br>Other: <span style="color:green;">Good</span>";
$this->SuccessReply($value["Id"], $REPLY_1);
} elseif ($value["id"] == 2) {
$REPLY_2 = "DATA: " . $value["INFO"] . "<br>Details: <span style="color:red;">Bad</span><br>Other: <span style="color:green;">Good</span>";
$this->SuccessReply($value["Id"], $REPLY_2);
} ($value["id"] == 3) {
// итд..
}

///

    function SuccessReply ($Id, $Reply = null)
    {
        $this->DB->query("UPDATE orders SET Code = '" . $Reply . "', StatusId = '2' WHERE Id = '" . $Id. "'");
    }

Comments

[Дмитрий]

Добрый день.
Экранируйте символы, данные, которые подставляете в запрос.

[FanatPHP]

Дмитрий, а давайте вы добровольно снимете с себя звание куратора тега, с такими-то адовыми советами?

[FanatPHP]

Что лежит в $this->DB?

Answer 1

[irishmann]

Не вставлять напрямую переменные в запрос, чревато SQL-injection заработать. Используйте подготовленные запросы. Наверняка Ваша библиотека позволяет это. Как костыль можно использовать hlmlspecialchars, addslashes .

Comments

[Us59]

Что значит использовать подготовленные запросы? В этом foreach я делаю обработку данных, которые вернулись из ф-ции, проверяю, сортирую итд.

Есть ф-ция которая принимает значение Id и Reply. До передачи данных я создаю переменную reply с нужными данными и передаю ее.

Я делаю это не правильно?) Как это делать правильно в таком случае?)
Если я правильно понял мне не нужно в переменной $REPLY_1 подставлять значение из value?? Или что вы имеете ввиду?

[irishmann]

Us59,
↓ В принципе неверное решение,

UPDATE orders SET Code = '" . $Reply . "', StatusId = '2' WHERE Id = '" . $Id. "'

Должно быть примерно так, пример PDO.

$sql = "UPDATE orders SET Code = ? , StatusId = 2  WHERE Id = ?";
$stmt = $pdo->prepare($sql);
$stmt->execute([$Reply,  $Id]);
$data = $stmt->fetchAll();

Что за библиотеку Вы используете?

[Us59]

irishmann, библиотеку? наверное никакую не использую. Я не очень опытный юзер в плане всего. Как я понял, моя ошибка заключается в том, что в sql запросе нельзя подставлять параметры? Нужно делать переменную подставляя данные, а затем уже вызывать

$this->DB_DO->query(тут вставлять готовую переменную которую сформировал выше);

По поводу библиотеки, для чего ее используют? я немного понимаю что это, но для чего оно мне? Чтобы не писать ф-ции которые уже есть в готовой библиотеке?

[irishmann]

Us59,
Вот так должен выглядеть Ваш подготовленный запрос.

function SuccessReply ($Id, $Reply = null)
    {
        $stmt = $this->DB->prepare("UPDATE orders SET Code = ?, StatusId = '2' WHERE Id = ? ");
        $stmt->bind_param("ss", $Id, $Reply);
        $stmt->execute();
    }

[Us59]

irishmann, Я использую для подключение mysql.
Вот код:

spoiler

class Script {
    private $DB;

    public function __construct($DB_SERVER, $DB_USER, $DB_PASS, $DB_BASE)
    {
        $this->DB = new mysqli($DB_SERVER, $DB_USER, $DB_PASS, $DB_BASE);
    }
    
    function FunctionName ()
    {
        //....
    }
}
$object = new Script($DB_SERVER, $DB_USER, $DB_PASS, $DB_BASE);
$request = $object->FunctionName();

Я почитал про PDO, но так и не понял, зачем оно нужно?)

[irishmann]

Us59, документацию по mysqli вы видимо не читали, я дал код именно для него. PDO в первом примере именно для примера. PDO нужно для абстракции, не привязываться к одной конкретной СУБД

Answer 2

[ThunderCat]

1) кошмарный код, как в плане логики так и в плане оформления, все переменные и ключи то в верхнем регистре, то в нижнем, то в заглавном кемелкейсе, короче как угодно, но только не в стандарте PSR ).
2) Если вы используете строки, то во первых хорошей практикой является использовать одинарные кавычки, если внутри строковой переменной вы не используете функции или переменные, а во вторых если в строке кавычки того же типа что и кавычки начала/конца строковой переменной - внутренние кавычки экранируются обраным слэшем. В вашем случае достаточно просто "наружные" кавычки заменить на одинарные.
3) Вставка переменных в запрос - по рукам лопатой на! Есть механизм подготовленных запросов, специально для того чтобы упростить такие моменты как экранирование.

Answer 3

[FanatPHP]

Больше всего в таких топиках поражают ответы. "Экранируйте". "addslashes". Странно, что не предлагают еще каменным молотком на гранитной глыбе HTML выбивать.

Развернутый ответ на этот вопрос дан здесь: Правильный способ хранения HTML-кода в MySQL

Конкретная реализация зависит от того, что лежит в $this->DB

Помимо всего прочего, такой HTML никогда не хранят в БД. Сохранять такие отформатированные сообщения в базе данных неверно по тысяче причин. Это бессмысленно и вредно. Все украшения надо добавлять при выводе, а в БД хранить только исходные данные.

Comments

[Us59]

Почему зависит от $this->DB ??
Вот как определяется DB

spoiler

class Script {
    private $DB;

    public function __construct($DB_SERVER, $DB_USER, $DB_PASS, $DB_BASE)
    {
        $this->DB = new mysqli($DB_SERVER, $DB_USER, $DB_PASS, $DB_BASE);
    }
    
    function FunctionName ()
    {
        //....
    }
}
$object = new Script($DB_SERVER, $DB_USER, $DB_PASS, $DB_BASE);
$request = $object->FunctionName(); // старт идет тут.

Ну а как мне хранить данные в БД? Посмотрел сейчас в действующей БД как записаны подобные вещи:

Text<br/>Phone Number: 123<br/>Details:<br/>Refund: <span style=\"color:green \">NO</span><br>Other <SPAN STYLE=\"COLOR:orange\">Good</SPAN><br/>locked: <SPAN STYLE=\"COLOR:red\">Yes</SPAN>

Этот вариант правильный? Так нужно хранить? Или это тоже бред?))
Я не опытный юзер в плане этого всего, у меня другая сфера деятельности, приходится писать этот код для себя, подскажите если можете, как мне сделать? Я показал один из примеров инфы из БД, как она выводится я не знаю, поскольку нет доступа к исходному коду сайта который выводит эту информацию, я просто вижу как она хранится, и мне нужно таким же образом записывать инфу в БД из своего скрипта.

[FanatPHP]

Это бред.

[Us59]

FanatPHP, ну бред бредом, но как-то хранится же эта инфа, причем в достаточно большой БД)