query con valori provenienti da un post

[Mikele Sagitter]

salve ragazzi ho un form ke kiama una pagina che fa una query. la query adotta come parametri WHERE i valori post passatigli dal form...siccome la query non mi funziona volevo sapere se ho fatto un'errore di concatenazione

$query_search = "SELECT * FROM annunci WHERE status = '" . $_POST['opzioni'] . "' AND codice_prezzo = '" . $_POST['hide2'] . "' AND regione = '" . $_POST['regione'] . "' AND provincia = '" . $_POST['provincia'] . "' AND comune = '" . $_POST['comune'] . "' AND ampiezza = '" . $_POST['ampiezza'];

A me sembra giusto....Fatemi sapere ciao

[filippo.toso]

Non stai di meno ad esequire mysql_error() o funzione equivalente per verificare se la query è corretta?

Inoltre effettui l'escaping su quei valori prima di utilizzarli nella query?

[Mikele Sagitter]

asp non ti sto seguendo...la query l'ha impostata DW io ho solo campiato al sintassi aggiungendo i WHERE coi i post...

l'errore cmq è questo

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''' at line 1

[killer-gio]

$query_search = "SELECT * FROM annunci WHERE status = ' $_POST['opzioni']' AND codice_prezzo = '$_POST['hide2']' AND regione = '$_POST['regione']' AND provincia = '$_POST['provincia']' AND comune = '$_POST['comune']' AND ampiezza = '$_POST['ampiezza']'";


oppure

$query_search = "SELECT * FROM annunci WHERE status = '" . $_POST['opzioni'] . "' AND codice_prezzo = '" . $_POST['hide2'] . "' AND regione = '" . $_POST['regione'] . "' AND provincia = '" . $_POST['provincia'] . "' AND comune = '" . $_POST['comune'] . "' AND ampiezza = '" . $_POST['ampiezza']."'";

comunque ti consiglio la prima

[filippo.toso]

killer-gio ti suggerisco di provare il codice prima di postarlo. La prima soluzione contiene un Parse Error.

[MicheleWT]

quello che fai è molto pericoloso. fatti una ricerca su cos'è una sql injection!

dopodichè procedi in questo modo, o qualcosa di simile

if(ereg("regexp appropriata","$_POST[opzioni]"))
{
$opzioni=$_POST['opzioni'];
}
else //c'è qualcosa che non va


poi la inserisci semplicemente così
$query="SELECT * FROM annunci WHERE status='$opzioni' eccetera";

studiati le regexp, ereg/eregi/preg_match (che dovrebbe essere più veloce), sql injection

se sei uno a cui piace vedersi il lavoro rovinato dal primo cracker puoi saltare l'if e inserire subito
$opzioni=$_POST['opzioni'] e riempire la query nello stesso modo.

ps: anche se ho scritto in toni scherzosi, quello che fai è pericoloso davvero

[killer-gio]

Originariamente inviato da filippo.toso
killer-gio ti suggerisco di provare il codice prima di postarlo. La prima soluzione contiene un Parse Error.

forse così dovrebbe andare, comunque se questa no va la seconda che ho inserito dovrebbe andare sicuramente, spero, purtroppo non saprei come provare il codice in quanto non dispongo di una tabella con quei campi...


$query_search = "SELECT * FROM annunci WHERE status = '$_POST[opzioni]' AND codice_prezzo = '$_POST[hide2]' AND regione = '$_POST[regione]' AND provincia = '$_POST[provincia]' AND comune = '$_POST[comune]' AND ampiezza = '$_POST[ampiezza]'";