mysql-kysely

Helpottais jos tietäisi minkä virheilmoituksen tulostaa?

Oletko kokeillut näin:

$kysely = mysql_query("SELECT * FROM mopot WHERE Merkki = ' ".$_POST['merkki']." ' ");

Eli lainausmerkit ja merkkijonoliitos tuohon $_post:in ympärille?

Jos jostain syystä haluat kerjätä ongelmia käyttämällä antiikkisia mysql-funktioita niin muista filtteröidä kaikki käyttäjiltä saamasi merkkijonot ensin ei-sallittujen merkkien varalta ja sen jälkeen eskapettaa ne merkkijonot käyttäen funktiota mysql_real_escape_string(). Myös magic_quotesin päälläolo pitää tarkastaa, jos tuotantoympäristö ei ole tarkasti tiedossa, ja tarvittaessa ajaa kaikki käyttäjien syötteet stripslashes()-funktion lävitse. Em. vaiheet ovat pakollisia jos olet skriptiäsi laittamassa julkisesti esille, eikä yhtäkään niistä voi jättää välistä.

Vanhentuneiden mysql-funktioiden sijasta on parempi kuitenkin käyttää PDO:ta:

// Filtteröi käyttäjän syöte
$merkki = preg_replace('/[^a-z]/', '', $_POST['merkki']);

// Luo tietokantayhteys
try {
$dbh = new PDO('localhost', 'tunnus', 'salasana');
}
catch (PDOException $e) {
die($e->getMessage();
}

// Suorita kysely
$stmt = $dbh->prepare('SELECT * FROM mopot WHERE Merkki = ?');
$stmt->execute(array($merkki));

// Sijoita mopot taulukkoon
$mopot = $stmt->fetchAll();