שלום,
יש לי את הקוד הבא:

קוד PHP:

 foreach ($_POST as $k=>$x)
     {
        if ($k=="posted" || $k=="submit")
         continue;
            $cond .= "`{$k}`='{$x}',";
     }
     $cond[strlen($cond)-1]="";
     $cond = "UPDATE `cms_data` SET ".$cond." WHERE `id`='".$id."'";
     echo $cond;
     mysql_query($cond) or die(mysql_error()); 


והmysql_error מציג לי:

קוד PHP:

 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'UPDATE `cms_data` SET `fullname`='testinggg',`pack`='test',`comment`='te  sting te' at line 1 


והפלט של cond זה:

קוד PHP:

 UPDATE `cms_data` SET `fullname`='testinggg',`pack`='test',`comment`='te  sting testing',`tesing`='test',`check`='test',`email`='t  eest',`sapar`='testing',`date`='test',`hour`='test  ' WHERE `id`='7' 


ואני לא מוצא את הבעיה..
מישהו יכול לעזור לי?

תודה מראש

מה זה הסוגריים האלו בתוך השאילתה?

תתעלם.. הורדתי אותם..
זו השורה:

קוד PHP:

 mysql_query($cond) or die(mysql_error()); 


1. אתה פותח פתח להזרקות בצורה כזאת, מוטב שתשרשר ידנית את השדות הרצויים, ואת הערך המתקבל מהלקוח "תבריח" באמצעות הפונקצי המתאימה.

2. התו "`" אינו חובה כששם הטבלה, השדה או שם אחר אינו שם שמור. נסה להסיר תווים אלו ראשית משם הטבלה, למרות שעל פניו לא נראה שיש בעיה, בכל זאת נסה לבדוק את זה.

3. את המרכאות סביב הערך של ה-id אתה גם יכול להסיר, שכן אין צורך במרכאות סביב ערך מספרי (למרות שלא נראה לי שזאת הבעיה).

4. אם אתה כבר תוחם מחרוזת במרכאות כפולות -מה שאומר שבמידה מסויימת ניתוח המחרוזת יתבצע במורה מורכבת יותר- אז למה לסגור את המחרוזת כדי לשלב בו משתנים ? תבחר את הדרך הנוחה לך:

קוד PHP:

 "UPDATE `cms_data` SET $cond WHERE `id`='$id'";
or
'UPDATE `cms_data` SET '.$cond.' WHERE `id`=\''.$id.'\''; 


5. לא כל קוד צריך לתחום בתגי PHP, בשביל זה יש את התג CODE, זה מרל על הקריאות.

בהצלחה

1. אוקי, נלקח לצומת ליבי.

2. הורדתי אותו משם הטבלה ומשם השדה, עדיין לא עובד (ראה קוד חדש בסוף ההודעה).

3. הורדתי את המערכאות סביב המשתנה id.

4. OK

5. לא הבנתי את מה שאמרת פה.

הקוד החדש:

קוד PHP:

 foreach ($_POST as $k=>$x)
       {
        if ($k=="posted" || $k=="submit")
         continue;
            $cond .= "{$k}='{$x}',";
       }
       $cond[strlen($cond)-1]="";
       $cond = "UPDATE cms_data SET $cond WHERE `id`=$id";
       echo $cond;
       mysql_query($cond) or die(mysql_error()); 


5. יש כאן בפורום תג PHP ותג CODE.
התג PHP נועד לקוד php, ומתאים גם למספר שפות תכנות, אך ממש לא להודעות שגיאה, שאילתות SQL וכל מלל שהצבעים בו לא יוצגו בהתאם לחוק מסויים [מה שהופך את ההודעת שגיאה ובמיוחד שאילתות לפחות קריא מאשר ההודעה המקורית בצבע אחיד].

נסיתי שוב לראות היכן הבעיה בשאילתה, אני לא רואה בעיה. נסה שוב לכתוב את המילה UPDATE, או אף לעשות "העתק הדבק" משורת קוד שכן פועלת כראוי.
תשתדל מאד שלא יהיה שום תו לבן (תו לבן = תו שאינו נראה כגון רווח, טאב, מעבר שורה וכדומה) לפחות בתחילת השאילתה.

אגב, אני מניח שלאחר השינוי, למרות שהוא קטן ולא משמעותי במיוחד, הפלט השתנה, כך שחבל שלא צירפת.

לקחתי לצומת ליבי,
בכל מקרה, רשמתי מחדש גם את UPDATE וגם את SET, אך עדיין לא עובד.
להלן הפלט של cond:

קוד:

UPDATE cms_data SET fullname='1',pack='test',comment='2',tesing='3',ch  eck='4',email='5',sapar='testing',date='6',hour='7  ' WHERE `id`=7

להלן הפלט של השגיאה:

קוד:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'check='4',email='5',sapar='testing',date='6',hour  ='7'' at line 1You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'UPDATE `cms_data` SET `fullname`='testinggg',`pack`='test',`comment`='te  sting te' at line 1

זה הועיל, כי כפי שתוכל לראות, כעת השגיאה רק בהמשך השאילתה, ולא מיד בתחילתה.

כרגע הבעיה במילה שמקורה במשתנה k, כך שאין לך אפשרות לשכתב את זה כמו את המילה UPDATE, אלא לכתוב "ידנית" את שמות השדות, מה שגם יפתור את בעיה מס' 1 (בעיית אבטחה. ע"ע הזרקה).

תשומת לב *

לא אפשרי,
שמות השדות וסוגם נקלחים ממסד נתונים, זה לא טופס פשוט בHTML לכן אין אפשרות לדעת כמה שדות יש ומה הם השדות שלהם כמשהו קבוע.

אז גם בעדכון תקח אותם מהמסד נתונים, אני בדיוק עכשיו עובד על טופס שהמידע שלו גם מאד דינמי, ואני עושה אותו דבר.

אגב, אם מדובר באובייקטי input שאינם מסוג text הבעיה עוד יותר חמורה, כך שתמיד עדיף לקחת את שמות השדות שוב מהמסד נתונים ולא מהמערך POST

זה הקוד המלא של העמוד:

קוד PHP:

<? ob_start(); ?>
<html dir="rtl" lang="he">
 <head>
  <title>לוח הבקרה למנהלים- עריכת תור</title>
  <meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-8-I" />
 </head>
 <body>
  <?php
   require('db.php');
   $query = mysql_query("SELECT * FROM cms_user WHERE id=1");
   $arr = mysql_fetch_array($query);
   $check=include "check.php";
   if($_COOKIE["cmsname"] == $arr["name"] && $_COOKIE["cmspass"] == $arr["pass"]){ 
    ?>
    <?php 
     $id=$_GET['id'];
     $qpage = mysql_query("SELECT * FROM cms_form");
     if($_POST["posted"] != 1) {     
    ?>
    <form action="editwait.php?id=<?php echo $id; ?>" method="post">
     <input type="hidden" name="posted" value="1">  
     <table border="0" cellpadding="0" cellspacing="0" style="border-collapse: collapse" bordercolor="#111111" width="100%" id="AutoNumber1">
       <?php
      while ($apage = mysql_fetch_array($qpage)){
       echo "<tr><td width='33%'>".$apage["name"]."</td>"; 
       echo "<td width='67%'>";
       $test=$apage["Ename"];
       $qpage2 = mysql_query("SELECT * FROM cms_data WHERE `id`=".$id);
       $apage2 = mysql_fetch_array($qpage2);
       switch ($apage["type"])
       {
        case 1: echo "<input name='".$apage["Ename"]."' size=10 value='".$apage2["$test"]."'>"; break;
        case 2: echo "<textarea cols=30 rows=10 name='".$apage["Ename"]."' value='".$apage2["$test"]."'>".$apage2["$test"]."</textarea>"; break;
        case 3: echo "<select size='1' name='".$apage["Ename"]."'>";
         $qdownbox = mysql_query("SELECT `name` FROM `cms_downbox` WHERE `to`='".$apage["id"]."' ORDER BY 'id' ASC") or die(mysql_error);
         while($downbox = mysql_fetch_assoc($qdownbox)) 
         {
          if ($downbox["name"] == $apage2["pack"]) {
           $selected = "selected";
          } else {
              $selected = "";
          }
          echo "<option ".$selected." value='".$downbox["name"]."'>".$downbox["name"]."</option>";
         }
         echo "</select>"; break;
       }
       echo "</td>";
       echo "</tr>";
       
      }
      echo '<tr><td valign=top>תאריך:</td><td><input class="lineinfo" name="date" size=10 value='.$apage2['date'].'></td></tr>';
      echo '<tr><td valign=top>שעה</td><td><input class="lineinfo" name="hour" size=10 value='.$apage2['hour'].'></td></tr>';
 
     ?>
     </table>
     <input type="submit" name="submit" value="עדכן שדה!">
    </form>
    <?php
     } else {
       foreach ($_POST as $k=>$x)
       {
        if ($k=="posted" || $k=="submit")
         continue;
            $cond .= "{$k}='{$x}',";
       }
       $cond[strlen($cond)-1]="";
       $cond = "UPDATE cms_data SET $cond WHERE `id`=".$id;
       echo $cond;
       mysql_query($cond) or die(mysql_error());
       echo "התור נערך בהצלחה<br>"; 
     }
   } else {
      echo '<script language="JavaScript">
        alert("אינך מחובר! אנא התחבר!") ;
       </script>';
     }
    
   
  ?>
 </body>
</html>

מה לדעתך הבעיה פה?

htmlspecialchars

GNU/Linux - Use the source!

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://petition.mac-it.co.il/promote/buttons/petition_text_less.gif]

OK אבל מה זה יעזור לשגיאה?

GNU/Linux - Use the source!

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://petition.mac-it.co.il/promote/buttons/petition_text_less.gif]

אתה מדבר על הנתונים שמכניסים בטופס?
אז לא, בדקתי את זה והכנסתי רק מספרים 1-7

רפרפתי על הקוד, אני לא רואה בעיה.

אגב, טור * (אם לזה התכוונת במילה "תור").

תתן את המידע הבא, אולי זה יעזור לנו לעזור לך:
1. תדפיס את המערך POST.
2. תדפיס את השאילתה.
3. תעתיק את הודעת השגיאה.

המערך POST:

קוד:

Array ( [posted] => 1 [fullname] => TEST [pack] => תספורת מבוגר [comment] => TEST TEST [tesing] => 1 [check] => 2 [email] => 3 [sapar] => testing [date] => 4 [hour] => 5 [submit] => עדכן שדה! ) 

השאילתה:

קוד:

UPDATE `cms_data` SET `fullname`='TEST',`pack`='תספורת מבוגר',`comment`='TEST TEST',`tesing`='1',`check`='2',`email`='3',`sapar`  ='testing',`date`='4',`hour`='5' WHERE `id`=7

הודעת השגיאה:

קוד:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1

ראשית כדי שיהיה לכולנו קל יותר לקרוא את הקוד אני מציג את אותו קוד רק עם הזחות:

קוד:

Array
(
	[posted] => 1
	[fullname] => TEST
	[pack] => תספורת מבוגר
	[comment] => TEST TEST
	[tesing] => 1
	[check] => 2
	[email] => 3
	[sapar] => testing
	[date] => 4
	[hour] => 5
	[submit] => עדכן שדה!
)


UPDATE
	`cms_data`
SET
	`fullname`='TEST',
	`pack`='תספורת מבוגר',
	`comment`='TEST TEST',
	`tesing`='1',
	`check`='2',
	`email`='3',
	`sapar`  ='testing',
	`date`='4',
	`hour`='5'
WHERE
	`id`=7


You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1

תשים לב שכרגע ההודעת שגיאה שונה, רק היות וההודעת שגיאה לא מכילה אף תו מהשאילתה, קשה להבין היכן הבעיה ולמה היא מתייחסת, לכן תנסה בבקשה להגדיר את המשתנה cond באופן הבא, כך אולי לפי מספר השורה בהודעת שגיאה נוכל לדעת היכן הבעיה:

קוד PHP:

 $cond = "
    UPDATE cms_data SET
    $cond
    WHERE `id`=$id"; 


משום מה יש לי הרגשה שזה קשור לקידוד.

האמת שמתחילה חשבתי כך, לכן הצעתי לו לכתוב מחדש את ה-UPDATE ותו הרווח שלאחריו, כי יתכן שהרווח הוא בעצם קוד אסקי שונה מהקוד אסקי של תו הרווח הרגיל או משהו דומה.
אך כנראה שבאנגלית אין ממש סיכוי שתהיה בעיה כך שיש יותר סיכוי שזה במילים העבריות, אם כי לאחר שהוא שיכבת את המילה UPDATE ההודעת שגיאה היתה שונה, מה שאומר שיתכן שהיו מספר בעיות שזה אחד מהם.

המחפש, בהתאם לרעיון של GB, תנסה להזין בטופס ערכים באנגלית בלבד, ותדפיס לנו שוב את המערך POST, שאילתה והודעת השגיאה אם תהיה כזאת.

זה הפלט אחרי העדכון:

קוד:

Array ( 
 [posted] => 1 
 [fullname] => TEST 
 [pack] => test 
 [comment] => TEST TEST 
 [tesing] => 1 
 [check] => 2 [email] => 3 
 [sapar] => testing 
 [date] => 4 
 [hour] => 5 
 [submit] => עדכן שדה! 
) 
UPDATE 
 cms_data 
SET 
 `fullname`='TEST',
 `pack`='test',
 `comment`='TEST TEST',
 `tesing`='1',
 `check`='2',
 `email`='3',
 `sapar`='testing',
 `date`='4',
 `hour`='5'
WHERE 
 `id`=7

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 2

יש לך בעיות עם התגים " / '




השתמש בקוד הזה .

קוד PHP:

 foreach ($_POST as $k=>$x)
{
if ($k=="posted" || $k=="submit")
continue;
$cond .= "`{$k}`='{$x}',";
}
$cond[strlen($cond)-1]="";
$cond = 'UPDATE `cms_data` SET ".$cond." WHERE `id`=".$id."';
echo $cond;
mysql_query($cond) or die(mysql_error()); 


ציטוט:

במקור נכתב על ידי rna קוד PHP:  $cond = 'UPDATE `cms_data` SET ".$cond." WHERE `id`=".$id."';

שמת לב מה חינטרשת שם ?

חמודי שב בשקט ותלמד .

תלמד אותי (?)

למה המחרוזת תחומה במרכאות בודדות ובתוך השאילתה ישנם מרכאות כפולות ונקודות שלפי איך שמריח לי ה-mysql לא יאהב אותם...
בקיצור: מדובר בתחביר שגוי, מותר לטעות, רק כדא לחשוב לפני שמגיבים כשאין בתגובה ממש

יום טוב

אחלה אבל בואו לא ניגרר לריבים ונחזור לנושא.


תודה

חס וחסה, אין שום סיבה לריב

לא קראתי עדיין את הודעתך המכילה את הקוד המלא, אך אשתדל לעשות זאת כשיהיה לי 5-10 דקות פנויות, אני מקווה שהבעיה תפתר.
(מפאת חוסר בזמן אני מרפרף די מהר ומגיב רק בדברים קצרים שלא גוזלים זמן רב ונמנע מהודעות ארוכות).

OK אבל בבקשה תשתדל כמה שיותר מהר, כי הבעיה הזו דיי דחופה.

אני מציע לך לחשוב פעמיים לפני שאתה פונה בצורה כזאת לאחד המשתמשים הוותיקים והתורמים בפורום...

ה" / ' בשורה של הupdate לא מסודרים טוב,
בכל מקרה, העתקתי גם את הקוד שהבאת, לא עובד, וגם את הקוד שאני תיקני שם את הגרשיים, לא עובד.

אז כניראה שיש לך בעיות בקוד חוץ מהגרשיים , לא ממש קראתי את הקוד .

אבל אתה צריך להבין , שכשאר אתה פותח גרשיים נגיד לדוגמא

קוד PHP:

 $blat="gever" 


אתה לא יכול לדפוק באמצע גרשיים שלא קשורות , כי הphp מזהה את זה כסגירת גרשיים , ואז הוא יבקש נקודה פסיק .

קפיש ?

כאשר תוחמים מחרוזת בגרשיים ניתן לסגור ולפתוח אותם מחדש לשם הכנסת משתנים המשתלבים במחרוזת, לדוגמא:

קוד PHP:

 $cond = "UPDATE `cms_data` SET ".$cond." WHERE `id`=".$id; 


בכל מקרה,
הבאתי את כל הקוד פה (כמה הודעות למעלה) ואני לא מוצא שם שום בעיה.

אתה בכלל לא חייב לסגור את הגרשיים...

קוד:

 $cond = "UPDATE `cms_data` SET $cond WHERE `id`=$id";  

OK אבל זה עדיין לא פתר את הבעיה..

למה שהוא עשה קוראים שרשור...

ולכל אלה שאומרים שאם כבר יש מרכאות כפולות אז לשים בתוך מרכאות משתנים, זה נכון, אבל אני בדרך כלל מעדיף שרשור.. נראה לי יותר ברור..

אגב, ראיתי BanchMark (איך שלא קוראים לזה..) שמראה ששרשור יותר מהיר מכתיבה רגילה פי 2.
ניסיתי ונוכחתי לדעת שזה נכון!

Benchmark *

לכן עדיף להשתמש במרכאות בודדות, כי אז המלל לא עובר ניתוח כמו במלל התחום במרכאות כפולות.
אבל גם לתחום במרכאות כפולות וגם לא לנצל את היתרון של זה... זה סתם בזבוז משאבים (הגם שמדובר במשאבים שנדיר שהם מורגשים).

מה שניסיתי להגיד זה שמרכאות כפולות דיי מיותרות... זה בעיקר לנוחות..

מלבד כשרוצים להזין תווים מיוחדים כגון תו "מעבר שורה" וטאב (תו שמסל טאב, לא טאב ממשי) - גם כאן חובה להשתמש במרכאות כפולות.

מה עם הבעיה?

אתה יכול סתם להריץ שאילתה? שלא תיבנה באופן אוטומטי?

טוב, הבנו את כל הקטע של המרכאות.
בואו בבקשה נחזור לנושא.

ראה תגובתי...

אתה מדבר על תגובה מספר 33? אם כן, לא הבנתי מה אמרת שם.

השאילתה שלך נוצרת באופן אוטומטי, תנסה סתם להריץ שאילתה שמעדכנת את המסד ולא באופן אוטומטי כמו שמבוצע כאן.

לא מבין מה הכוונה שאתה אומר באופן אוטומטי, אתה מדבר בעצם שהיא נוצרת בלולאה?

אם כן, לא ניתן ליצור באופן אחר כי השדות נלקחים מהמסד נתונים והם לא משהו קבוע בטופס (ראה את הקוד של כל העמוד כמה הודעות למעלה).

אין דבר כזה, תברר אילו שדות יש לך לעדכן.
ותמלא אותם בפרטי סרק עם שאילתה כזו - לא חייב שיבואו מPOST - תכניס ידנית.

אני עדיין לא מבין על מה אתם מדברים,
תוכל להראות לי?

תכתוב בעצמך אשילת עדכון ותריץ את הדף, אנחנו רוצים לראות איך זה יעבוד.
תבין, אנחנו לא מתכוונים שהקוד הזה יהיה בדף באופן קבוע, אלא רק כרגע לבדיקה.

אהה.. OK, הבנתי.
בדקתי את זה:
כאשר רשמתי את השאילתה:

קוד PHP:

 mysql_query("UPDATE `cms_data` SET `fullname`='TEST',`pack`='testing',`comment`='TEST   TEST',`tesing`='1',`check`='2',`email`='3',`sapar`  ='testing',`date`='4',`hour`='5' WHERE `id`=7") or die(mysql_error()); 


זה אכן עדכן את הפרטים ולא הייתה שום בעיה.