Paieškokime klaidelės !

Štai php kodukas:

<?php
include "mysql.php";
echo '<link href="css/bootstrap.min.css" rel="stylesheet" media="screen">';


$preke = $_POST['preke'];
$kiekis = $_POST['kiekis'];

$komanda = "'INSERT INTO prekes (kiekis) 
VALUES ($kiekis) WHERE 'pavadinimas' = $preke'";
if ($kiekis > 99 or $kiekis < -99)
{
	echo "<html><head><title>Ivyko Klaida!</title></head>
	<body>
	<script src='http://code.jquery.com/jquery.js'></script>
	<script src='js/bootstrap.min.js'></script>
	<center>
	<div class='alert'>
		<button type='button' class='close' data-dismiss='alert'>×</button>
		<strong>Klaida!</strong> Vienos operacijos metu galite prideti/atimti iki 99 vienetu
	</div></center>
	<br>
	<br>
	<center><button class='btn btn-large btn-primary'><a href='index.php'>Atgal</a></button></center> </body>
	</html>";

}

else 
	{
		echo $kiekis;
		echo " ";
		echo $preke;
		mysql_query($komanda,$con) or die (mysql_error());
		echo "<html><head><title>Atlikta!</title></head>
				<body><center><br><span class='label label-success'><h5>Sekmingai atlikta!</h5></span>
					  <br><br><button type='button' class='btn btn-large btn-primary'><a href='index.php'>Atgal</a></button></center></body></html>";

	}



mysql_close($con);


?>

Output'as :

1 verbatimYou have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''INSERT INTO prekes (kiekis) VALUES (1) WHERE 'pavadinimas' = verbatim'' at line 1

Niekaip nerandu klaidelės, gal tiesiog galva nedirba, padėsit ? :)

verbatim''

'.$preke'

i kabutes itrauk :)

$komanda = "'INSERT INTO prekes (kiekis) 
VALUES ($kiekis) WHERE 'pavadinimas' = '$preke'";

3 verbatimYou have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''INSERT INTO prekes (kiekis) VALUES (3) WHERE 'pavadinimas' = 'verbatim'' at line 1

Bandom dar ieškoti :)

$komanda = "'INSERT INTO prekes (kiekis) 
VALUES ($kiekis) WHERE 'pavadinimas' = '$preke'";

 

3 verbatimYou have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''INSERT INTO prekes (kiekis) VALUES (3) WHERE 'pavadinimas' = 'verbatim'' at line 1

 

Bandom dar ieškoti :)

taska pamirsai prie kintamojo

'pavadinimas' = '.$preke'"; ?

daug ką išbandžiau, tas pats visviena :(

$komanda = "INSERT INTO prekes (kiekis) VALUES ($kiekis) WHERE 'pavadinimas' = .$preke";

pabandyk sitaip

3 liteonYou have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'WHERE 'pavadinimas' = .liteon' at line 1

Kažkokia mįslė

$komanda = mysql_query("INSERT INTO prekes (kiekis) VALUES " . $kiekis " WHERE pavadinimas = " . $preke);

$komanda = "INSERT INTO prekes (kiekis) VALUES ('$kiekis') WHERE pavadinimas = '$preke'";

Paiekokime

pataisyk bent pavadinima :)

-

$komanda = "INSERT INTO `prekes` (kiekis) 
VALUES ('$kiekis') WHERE `pavadinimas` = '$preke'";

$komanda = mysql_query("INSERT INTO prekes (kiekis) VALUES " . $kiekis " WHERE pavadinimas = " . $preke);

Parse error: syntax error, unexpected T_CONSTANT_ENCAPSED_STRING in C:\webserv\8.5\root\tii10\submit.php on line 9

$komanda = "INSERT INTO prekes (kiekis) VALUES ('$kiekis') WHERE pavadinimas = '$preke'";

4 verbatimYou have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'WHERE `pavadinimas` = 'verbatim'' at line 2

Parašiau jau kaip turi būti, dar vienas po manęs parašė praktiškai tą patį:

$komanda = "INSERT INTO prekes (kiekis) VALUES ('$kiekis') WHERE pavadinimas = '$preke'";

Parse error: syntax error, unexpected T_CONSTANT_ENCAPSED_STRING in C:\webserv\8.5\root\tii10\submit.php on line 9

 

 

 

4 verbatimYou have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'WHERE `pavadinimas` = 'verbatim'' at line 2

zdz tingiu gilintis, kazka praleidziu :D

Negalima naudot ' kabučių ant skilčių(columns, "pavadinimas") reiktų `

O ` kabutes patarčiau naudot nes būna skilčių tokių kaip SQL funkcijos pvz. count tai meta errorą tada.

Mano variantas:

Įrašymas:

$komanda = 'INSERT INTO `prekes` (`kiekis`) VALUES ("'.$kiekis.'");

Atnaujinimas:

$komanda = 'UPDATE `prekes` SET `kiekis` = "'.$kiekis.'" WHERE `pavadinimas` = "'.$preke.'"';

Šiaip matau nestripini nieko ir pan. tai SQL injection nesunku padaryt. O geriausia naudok PDO

Ką jūs čia buriat? :D

$komanda = "UPDATE prekes SET kiekis = '$kiekis' WHERE pavadinimas = '$preke'";

Kaip aš taip pražiopsojau :DDDDDD

Galvojų kažkas ne taip

-----

O tu atnaujint nori ar įrašyt?

$komanda = "INSERT INTO `prekes` (kiekis) VALUES ('". $kiekis ."')";

INSERT INTO ... WHERE ... :D

Negalima naudot ' kabučių ant skilčių(columns, "pavadinimas") reiktų `

 

O ` kabutes patarčiau naudot nes būna skilčių tokių kaip SQL funkcijos pvz. count tai meta errorą tada.

 

Mano variantas:

Įrašymas:

$komanda = 'INSERT INTO `prekes` (`kiekis`) VALUES ("'.$kiekis.'");

Atnaujinimas:

$komanda = 'UPDATE `prekes` SET `kiekis` = "'.$kiekis.'" WHERE `pavadinimas` = "'.$preke.'"';

 

Šiaip matau nestripini nieko ir pan. tai SQL injection nesunku padaryt. O geriausia naudok PDO

Pirmame kode nera nurodyta kokiai prekei kiekis didinamas/mazinamas. (Sukure nauja eilute be prekes pavadinimo)

Antras kodas, kuris atnaujina, veikia puikiai, bet man siuo atveju reikia insert o ne update.

Pirmame kode nera nurodyta kokiai prekei kiekis didinamas/mazinamas. (Sukure nauja eilute be prekes pavadinimo)

 

Antras kodas, kuris atnaujina, veikia puikiai, bet man siuo atveju reikia insert o ne update.

Kaip tu gali pridėt eilutę su WHERE? INSERT niekada nebūna su WHERE

Pirmame kode nera nurodyta kokiai prekei kiekis didinamas/mazinamas. (Sukure nauja eilute be prekes pavadinimo)

 

Antras kodas, kuris atnaujina, veikia puikiai, bet man siuo atveju reikia insert o ne update.

$search = mysql_query('SELECT `pavadinimas` FROM `prekes` WHERE `pavadinimas` = "'.$preke.'"', $con);

if (mysql_num_rows($search) > 0) { // Iesko ar yra toks irasas su tokiu pavadinimu
   $komanda = 'UPDATE `prekes` SET `kiekis` = "'.$kiekis.'" WHERE `pavadinimas` = "'.$preke.'"'; // Jei yra - atnaujina
}
else {
   $komanda = 'INSERT INTO `prekes` (`kiekis`) VALUES ("'.$kiekis.'"); // Jei nera - iraso.
}

Pakeisk sita su ta $komanda = ... eilute.

DaDyZaZ, dar patarčiau kokių nors apsaugėlių naudoti,

$preke = $_POST['preke'];
$kiekis = $_POST['kiekis'];

nes žiūrint į kodą, jei apsaugų nera paslėpta mysql.php faile, tada kaip ir pažeidžiamas truputi esi :D

$preke = mysql_real_escape_string($_POST['preke']);
$kiekis = mysql_real_escape_string($_POST['kiekis']);

Truputi klaidą padarei rašydamas ;) O jai rimtai, tau jau manau pats laikas pamiršti MySQL ir naudoti MySQLi arba PDO. Tik žinoma tai neapsaugos nuo klaidingų duomenų įvedimo, jai nebus kokios nors "validacijos", na bent jau nuo MySQL injekcijos turėtų, nors kaip sakoma gyvenime visko būna... :D

$preke = $_POSTmysql_real_escape_string(['preke']);
$kiekis = mysql_real_escape_string($_POST['kiekis']);