La syntaxe SQL: passage de variable de requête SQL

C'est mon premier programme et j'ai fait de longues recherches pour tenter de répondre à cette question, et je ne peux pas résoudre le problème:

<?php

    include "connect.php";

    if (!$connection)
      {
      die('Could not connect: ' . mysql_error());
      }

    $submit = $_POST["submit"];

    if ($submit=="Submit") {
      $date = $_POST["date"];
      $name = $_POST["name"];
      $activity = $_POST["activity"];
      $activity_level = $_POST["activity_level"];

    $find_role = ("SELECT sales_role 
                     FROM role 
                LEFT JOIN USER on user.role_id = role.id 
                    WHERE user.user = '$name'");
    $find_activity_points = ("SELECT $activity_$role 
                                FROM $activity 
                               WHERE activity_level = '$activity_level'"); 

    $role = mysql_query($find_role);

    $activity_points = mysql_query($find_activity_points);
     if ($activity_points !== false) {
     }
      else {
       echo mysql_error ();
       die;
     }

     $convert_activity_points = array();

    while ($row = mysql_fetch_array($activity_points, MYSQL_ASSOC)) {
      $convert_activity_points[] = $row;
     }



    $set_points = "UPDATE $name SET $activity='$convert_activity_points' WHERE day='$date'";
     mysql_query($set_points);


    } 

    mysql_close($connection);

    ?>

Et c'est le message d'erreur que je reçois quand je soumettre form.php pour update.php:
Vous avez une erreur dans votre syntaxe SQL; consultez le manuel qui correspond à votre versions du serveur MySQL pour la bonne syntaxe à utiliser près DE cadran OÙ activity_level='70" à la ligne 1

P. S. je sais qu'il existe des vulnérabilités d'injection SQL, mais je suis la seule personne à l'aide de ce programme et je l'utilise en local sur mon ordinateur. Je suis d'accord avec les vulnérabilités pour l'instant.

Edit: code Modifié (j'apprécie vraiment les commentaires)

$find_role = "SELECT sales_role FROM role LEFT JOIN USER on user.role_id=role.id WHERE user.user='$name'";

$find_activity_points = "SELECT %s_%s FROM $activity WHERE activity_level='%d'";    

list($role) = mysql_fetch_array(mysql_query($find_role));

 $activity_points = mysql_query(
     sprintf($find_activity_points, //the main string
         $activity, $role, $activity, $activity_level) //the "arguments"
  );    

    if ($activity_points !== false) {
    }
        else {
            echo mysql_error ();
            die;
    }

Met à jour le tableau avec des 0 et n'affiche pas une erreur msg.
Re les vulnérabilités d'injection SQL, voir mon premier PS déclaration

  • Avez-vous regardé ce que les requêtes sql sont transmises à la base de données mysql par juste echo eux? Aussi, pourquoi avez-vous ajouter des parenthèses autour des cordes, comme ("foo bar")?
  • Est activity_level un type numérique? Pourrait-il en être les guillemets autour de la 70?
  • Possible faute de frappe: "$activity_$rôle"
  • Vous dire quelque chose à partir de la mise à jour mais il y a seulement des instructions select.
  • JOINTURE EXTERNE avec OÙ sur la même table est égale à INNER JOIN!
  • Quelles sont les parenthèses autour de la requête pour?
  • "Je suis d'accord avec les vulnérabilités pour l'instant." 🙁 !!
  • "Je suis d'accord avec les vulnérabilités pour l'instant." C'est pourquoi nous avons pirates se sentir comme les dieux après le piratage de systèmes réalisés par ces programmeurs.

InformationsquelleAutor Katherine | 2010-12-07
  1. 1

    Sur cette ligne:

    $find_activity_points = ("SELECT $activity_$role FROM $activity WHERE activity_level='$activity_level'");

    Je ne peux pas voir n'importe où dans votre code que vous définissez la valeur de $role avant l'exécution de la requête.

    Donc, en supposant que $activity == 'Eating' votre SELECT déclaration peut ressembler à quelque chose comme ceci:

    SELECT Eating_$role FROM Eating WHERE activity_level='...'

    Cela peut conduire à votre erreur, comme je le crois, MySQL ne permet pas de $ caractères dans le tableau/des noms de colonne.

    Comme Babiker a a suggéré, vous concaténation ou de l'utilisation de sprintf() peut aider à résoudre certains de ces diverses questions.

    Edit: pour Répondre à votre question dans les commentaires.

    Comme d'autres l'ont mentionné, le changement de vos $find_activity_points ligne similaire à la suivante:

    $find_activity_points = ("SELECT " . $activity . "_" . $role . " FROM " . $activity . " WHERE activity_level='" . $activity_level . "'");

    Une chose à garder à l'esprit, c'est quand vous faites instruction SQL de concaténation ("SELECT" . $activité . ") comme dans mon exemple, vous vous ouvrez L'Injection SQL attaques.

    • Peut-être que l'erreur est même préfixant role avec un $. Ailleurs dans le code, elle fait référence à un sales_role champ, alors peut-être que c'est juste censé être $activity . "_role" (c'est à dire Eating_role à l'aide de votre exemple).
    • Le nom de la colonne format est activity_role, de sorte que le cadran de la table serait dial_sdr, dial_ae, dial_outbound, etc., et la convo tableau serait convo_sdr, convo_ae, convo_outbound, etc.
    • Je sais que cela semble comme une bête de configurer la base de données, mais je n'étais pas sûr de ce que d'autres de la structure à utiliser en raison de la façon dont le concours est mis en place. Différents points sont attribués en fonction de leur rôle pour la même activité. Par exemple:
    • DTS: 7 convos: 1 pt 8-10 convos: 2 pt 11-14 convos: 5 pt 15+ convos: 8 pt
    • AE: 5 convos: 1 pt, 6-7 convos: 2 pt, 8-9 convos: 5 pt, 10+ convos: 8 pt. D'où la structure db où la colonne format est activity_role
    • Pas de soucis. Essayez de connecter l'instruction SQL générée ($find_activity_points) pour voir ce que l'instruction SQL ressemble. Mon hypothèse, c'est que vous avez un mal formé déclaration fondée sur le fait que $rôle n'est pas défini jusqu'à ce que après la déclaration est produite.
    • echo $find_activity_points; SÉLECTIONNEZ à PARTIR de cadran OÙ activity_level='70 Vous avez une erreur dans votre syntaxe SQL; consultez le manuel qui correspond à votre versions du serveur MySQL pour la bonne syntaxe à utiliser près DE cadran OÙ activity_level='70" à la ligne 1 de sorte qu'il ressemble $activity_$rôle n'est pas de travail. comment puis-je changer de semer la sortie de $activité $et rôle donnez-moi le nom de la colonne activity_role ex. dial_sdr?

    InformationsquelleAutor Jordan S. Jones
  2. 0

    Au premier coup d'oeil, je pense que "peut-être" activity_level type de données n'est pas la chaîne, mais nombre. Si vous n'avez pas besoin de placer des '...' dans OÙ activity_level = '$activity_level'

    Edit: pour être sûr de ce que provoque les problèmes, je recommande journalisation, comme dans l'exemple ici. Il suffit d'inclure la classe et le journal de votre requête dans un fichier (très facile), puis d'examiner la requête elle-même.

    • À partir de form.php Niveau d'Activité:<br /> <input type="text" name="activity_level" size="3" /><br /> <br>
    • Ce que je veux dire, c'est peut-être dans votre base de données, activity_level est le numéro-type. Il n'est pas sur la forme.
    • Que ce soit, je vous recommande fortement de vous connecter à votre requête avant de l'exécuter. Ensuite, il est beaucoup plus facile d'obtenir la bonne réponse.
    InformationsquelleAutor Hoàng Long
  3. 0

    $rôle n'est pas défini jusqu'à ce que plus tard dans votre programme, et même alors, il est une non-valeur scalaire qui va ruiner votre requête ainsi. Vous essayez d'utiliser les variables avant qu'ils ont des valeurs. Ils ne fonctionnent pas de cette façon, une fois que la chaîne est définie, elle contiendra les valeurs de ces variables au moment où elle a été déclarée.

    Vous voudrez probablement utiliser sprintf.
    http://php.net/manual/en/function.sprintf.php

      $find_activity_points = "SELECT %s_%s FROM %s WHERE activity_level='%d'";

    Et puis

      $activity_points = mysql_query(
     sprintf($find_activity_points, //the main string
         $activity, $role, $activity, $activity_level) //the "arguments"
  );

    Bien sûr, vous avez encore besoin d'obtenir $role un (scalaire) de la valeur qui peut être traité correctement au sein de la chaîne. Un (peu dangereux, mais rapide) façon de le faire serait:

      list($role) = mysql_fetch_array(mysql_query($find_role));
    • $find_role = "SÉLECTIONNEZ sales_role DE rôle LEFT JOIN UTILISATEUR de l'utilisateur.role_id=rôle.id OÙ l'utilisateur.utilisateur='$nom'"; $find_activity_points = "SELECT %s_%s à PARTIR de $activité OÙ activity_level='%d'"; list($rôle) = mysql_fetch_array(mysql_query($find_role)); $activity_points = mysql_query( sprintf($find_activity_points, //la chaîne $activité $rôle $activité $activity_level) //"arguments" ); if ($activity_points !== false) { } else { echo mysql_error (); die; }
    • Pardonnez-moi, le montant de l'activité dans le $find_activity_points chaîne "%s" ainsi. Cela a été corrigé dans ma réponse, essayez de modifier que dans votre code actuel et cela devrait fonctionner.
    InformationsquelleAutor aaronofleonard
  4. -1

    La concaténation de chaînes de php pour mysql cordes par exemple:

    mysql_query("SELECT * FROM `someTable` WHERE `someValue`='".$someVar'");
    • Et $_POST["activity_level"] est une chaîne de caractères avec ' en elle.

    Solution:

    "SELECT `".$activity_$role."` FROM `".$activity."` WHERE `activity_level`='".mysql_real_escape_string($activity_level)."'"
    • Il ressemble à sa requête est concaténé/remplacé correctement, selon le message d'erreur qu'elle reçoit.
    InformationsquelleAutor Babiker