UPDATE данных в таблице!

Рейтинг RU сайтов с отдачей

Свежие Креативы и море позитива !!!

Печать RSS

312

Arnis 14.01.2010 / 19:51 Автор
Пришелец

Как обновить данные в базе(правилно)? Я делал так

$add = $_GET['add'];
$pluss = 1;
$q = mysql_fetch_array(mysql_query("SELECT id,money,str,def,hp,maxhp FROM users WHERE usr = '.$_GET[usr].' AND pwd = '.$_GET[pwd].'"));
$id = strip_tags($q['id']);
$money = strip_tags($q['money']);
$str = strip_tags($q['str']);
$def = strip_tags($q['def']);
$hp = strip_tags($q['hp']);
$maxhp = strip_tags($q['maxhp']);
if($add == str){
echo '<p align="center">';
echo '<b><font color="green">Spēks veiksmīgi palielināts par 1 punktu!</font></b><br/>-===-<br/>';
echo '<a href="char.php?usr='.$usr.'&amp;pwd='.$pwd.'">Atpakaļ</a><br/>';
echo '<a href="main.php?usr='.$usr.'&amp;pwd='.$pwd.'">Uz galveno</a>';
$stre = $str + $pluss;
$mon = $money - $sprice;
mysql_query("UPDATE users SET str = '.$stre.', money = '.$mon.' WHERE id = '.$id.'"); }

но когда запускаю ету страницу все данные в таблице пропадает!
Help plizz

Олег 14.01.2010 / 20:05
Землянин

Как понять исчезают? Поля обнуляются? Я так пологаю id имеет числовое значение? Числовые значение в кавычки или апострофы не подвергаются.

Олег 14.01.2010 / 20:08
Землянин

Вообще к чему тебе тут strip_tags()?

Arnis 14.01.2010 / 20:21 Автор
Пришелец

http://wap-gang.net/scr.zip
ет весь скрипт! посмотри плиз размер 6кб

Олег 14.01.2010 / 20:47
Землянин

В твоем скрипте очень много уязвимостей критической степени. пересмотри все свои типы данных. Например, денежный формат должен быть типа decimal. strip_tags вообще не к чему.

<?php
$q = mysql_fetch_array(mysql_query("SELECT id,money,str,def,hp,maxhp FROM users WHERE usr = '".$_GET['usr']."' AND pwd = ".intval($_GET['pwd'])));
mysql_query("UPDATE users SET str = $stre, money = $mon WHERE id = $id"); }
mysql_query("UPDATE users SET def = $defe, money = $mon WHERE id = $id"); }
mysql_query("UPDATE users SET hp = $hp, maxhp = $maxhpe, money = $mon WHERE usr = $id"); }
?>

Скрипт работает, но суть надеюсь понял

Олег 14.01.2010 / 20:51
Землянин

я тебе только запросы написал. Весь скрипт нет времени смотреть. Но дырок в нем полно

Олег 14.01.2010 / 20:53
Землянин

Для экранирования строковых значений достаточно

<?
$str = "Строка, "которую нужно" экранировать";
public function escapes($escp)
	{
		if(!get_magic_quotes_gpc())
		{
			$escp = mysql_escape_string($escp);
		}
		return $escp;
	}
$str = escapes($str);
?>

Для числовых значений достаточно intval()

Azzido 14.01.2010 / 21:15
Оранжевые штаны

Ты в функции mysql_query ("..."); используешь двойные кавычки а переменные заключаешь в одинарные '.$id.'

CROWS 14.01.2010 / 21:21
Чатланин

только хотел написать про уязвимости.

Azzido 14.01.2010 / 21:21
Оранжевые штаны

Если уж использовать такой метод то mysql_query('UPDATE . . . '.$id.'. . .');

Для выполнения действия необходимо авторизоваться!

Стикеры / Теги / Правила / Топ тем / Топ постов / Поиск