שלום, חיפשתי כמה דוגמאות ב GOOGLE על מנת שאני אוכל להבין מהן את הפעולה UPDATE, כנראה שלא הבנתי טוב כיוון שהקובץ לא עובד, אשמח אם תתקנו אותי:

קוד PHP:

<?
include("db.php");


$query="UPDATE multiplayer

SET x".$_POST['id']."=".$_POST['x'].",
SET y".$_POST['id']."=".$_POST['y']


mysql_query($query);
?>

אה וגם יש בעיה בסינטקס שאין לי מושג מהי, המשתנה QUERY נחשב כמו שהוא עכשיו לסטרינג?

ראשית, אתן לך 2 אתרים שיכולים ללמד אותך SQL בקלות רבה :

• http://www.w3schools.com/sql/default.asp
• http://webmaster.org.il/guide.asp?subject=sql

עכשיו, הבעיה בsyntax שיש היא שחסר לך פסיק נקודה אחרי השורה הבאה :

קוד PHP:

 SET y".$_POST['id']."=".$_POST['y'] 


עוד משהו, תוכל לשרשר איברים של מערכים לתוך מחרוזת ע"י שימוש בסוגרים מסולסלות בצורה הבאה :

קוד PHP:

 $arr = array("Shani","Skrap");
$str = "My Name Is {$arr[0]} And I'm a member of {$arr[1]}"; 


בהצלחה בלמידה

הגלריה שלי בפליקר

תודה רבה
עריכה: הסינטקס נכון אבל כנראה שיש בעיה אחרת, זה לא מעדכן בכלל שום דבר...
בסך הכל מה שאני עושה כאן זה מעדכן בטבלה multiplayer את השדות X1 ו Y1 (בהנחה ש id=1), נכון?

אתה בטוח שאתה מקבל מה-POST ערכים של 1 (בתנאי ש- id=1) ?

תבצע Output של השאילתא (תכניס את השאילתא לתוך משתנה. תיישם פונקציית mysql_query על המשתנה, ואח"כ בצע echo עליו.). הראה לנו את התוצאה של השאילתא.

בנוסף אתקן\אשפר לך את הקוד המקורי:

קוד PHP:

<?php
include("db.php");

mysql_query('UPDATE multiplayer
SET X'.(int)$_POST['id'].'='.(int)$_POST['x'].',
Y'.(int)$_POST['id'].'='.(int)$_POST['y'] );
?>

[ בהנחה שהפרמטרים הבאים - x,y - המגיעים במתודת POST, הם צריכים להיות מסוג int ]

לא בטוח אם זה משנה אצל MySQL, אבל תבדוק שאין הבדלי אות קטנה\גדולה בשמות השדות (אני חושב שאין הבדל).

וכדאי לך ללמוד על SQL Injection

לעולם אין להכניס קלט משתמש ישירות לתוך שאילתת SQL!

קרא על הפונקציה mysql_escape_string

נמאס לכם לזכור סיסמאות? לחצו כאן!

טוב תודה אני אלמד, זה קשור לבטיחות של מה שמכניסים למסד הנתונים נכון?
זכור לי במעורפל שראיתי שזה מונע מסלאשים להכנס או משהו בסגנון...

לא, זה משתמש בסלאשים (הפוכים) כדי למנוע דברים אחרים...

נמאס לכם לזכור סיסמאות? לחצו כאן!

למנוע הכנסת פקודות לא רצויות?

הפונקציה הנ"ל מסננת תווים זה הכל!
למשל היא מסננת את התווים:
" ו ' ו \
כך תעבור עליה יותר פה להסבר מקיף יותר:
http://il2.php.net/mysql_real_escape_string
הפונקציה הזאת עדיפה על:
http://il2.php.net/mysql_escape_string
בגלל ש: היא עובדת לפי הקידוד המתאים + יש לה עוד ערך שאפשר להעביר בו את החיבור הקיים למסד...
בכל מקרה שימוש רק בה זה לא מספיק ^^
במידה ואתה מקבל ID הכתובת למשל והוא צריך להיות מספרי אתה צריך לבדוק שהID מספרי...
כי אם לא אפשר יהיה להזריק דברים שאין עליהם הגנה כדוגמת:
OR 1=1 למשל וכו'...

אני שולח את הנתונים ככה שלא תהיה בעיה כזאת, יש לך הצעות לגבי מה שכתבתי למעלה?

ציטוט:

במקור נכתב על ידי coolroy אני שולח את הנתונים ככה שלא תהיה בעיה כזאת, יש לך הצעות לגבי מה שכתבתי למעלה?

לא הבנתי... תסביר שוב בבקשה!
1) למה התכוונת בחלק הראשון של: "אני שולח את הנתונים כך שלא תתיהיה בעיה כזאת"
2)" הצעות בקשר למה שכתבת למעלה" בקשר למה בדיוק?

מה שכן אני יכול להעיר על זה:

קוד PHP:

 function sql_error()
{

    echo 'SQL NUMBER ERROR:' , mysql_errno() , "<br />\n";
    echo 'SQL ERROR: ' , "<br />\n"; , mysql_error() , "
\n";
    echo 'Created by: emanuel <a href="http://www.fresh.co.il/vBulletin/member.php?find=lastposter&t=392816" />:)'; 
}

$result = mysql_query($query) or die(sql_error()); 


עדיף במקצת על זה:

קוד PHP:

 mysql_query($query) or die(mysql_error()); 


שכמובן עדיף סתם על ביצוא השאילתא בלי לבדוק אם בוצעה בהצלחה...

1) התכוונתי שאני "מזריק" את הנתונים ככה שאין חשש שמשתמש יזריק משהו לא טוב.
2) אני עושה ככה בעקרון כדי לחבר כסטרינג על מנת למספר (בטוח יש דרך אחרת לעשות את זה), למשל אני רוצה שאם ID שווה ל 2 אז x2 = x, כש x זה משתנה שקיבלתי ב POST.

חחח הרגת אותי עם הקרדיט בקשר למה ששימי אמר mysql_real_escape נועדה בעיקר כדי להגן עליך מפני הזרקה של קוד לא רצוי דרך הטופס שאיתו אתה שולח את הנתונים או בדרכים אחרות,בכו"א מה שאתה יכול לעשות זה להשתמש בaddslashes כדי למנוע את זה או להשתמש בmysql_real_escape מה שנוח לך

הפונקציה:
mysql_real_escape_string
הרבה יותר עדיפה מADDSLASHES...
שלא לדבר על זה שברוב השרתים...
המידע שמתקבל דרך POST\GET\COOKIES = REQUEST...
הפונקציה ADDSLSHES מופעלת אוטמתי...
(עקב הגדרה כלשהיא בPHP.INI אם אני לא טועה)...

בעקבות כך ^^ יש לכתוב את הקוד בהתאם:
תעבור על זה:
http://www.sitepoint.com/forums/sho....php?t=456441#3
יש שמה פונקציה ממש חמודה ^^ להגנה על SQL INJECTION...
שמה הוא:
quote_smart

הפונקציה:
get_magic_quotes_gpc()לוקחת את הערך של המשתנה : magic_quotes_gpc מהקונפיגרוציה...
שאחראי לכל החלק הזה ^^...

תקרא עליה פה:
http://il.php.net/get_magic_quotes_gpc

בקשר לקרדיט פשוט לקחת את הקוד הזה...
מפורום אחר (שיש לי בו משתמש)...
ושמה הקרדיט היה לשם של המשתמש ההוא + קישור למשתמש שלי שמה...
אז כולה שינתי את זה לFRESH...חחח... הרי אני כתבתי אז זכותי

אתה טועה ,הפונקציה addslashes לא מופעלת אוטומאטית אני אומר לך את זה מניסיון של הרבה זמן,וההבדל היחיד בן 2 הפונקציות הוא השם שלהם,2 הפונקציות מברחיות תווים מיוחדים בהכנסת נתון דרך טופס או דרך כול דרך אחרת,ואני לא מבין את הרעיון בלהפנות אותי ללינקים :} אני לא שאלתי כלום סה"כ הצבתי עובדה ובקוד שפירסמת של הפונקציה sql_error משום מה אני חושב שהוא יקפיץ שגיאה אבל זה רק אני

הבנתי שאולי סתם מעניין אותכם לראות מי יודע יותר אבל בתכלס סתם גלשתם לנושא שהכי לא קשור לשאלה שלי והוא כדרך אגב

חס ושלום אף אחד פה לא מתווכח על מי יודע יותר,סה"כ כולנו כאן כדי ללמוד ,אבל יש מנוסה ויש מנוסה פחות אי אפשר להתכחש לעובדה,ואני לא בא וזורק דברים באוויר בלי שבדקתי אותם.

אני יודע אבל אתם מדברים על דברים די לא קשורים...

http://shiflett.org/blog/2006/jan/a...l-escape-string

אני לא יודע מה כתוב בהמשך האשכול.
אבל: 1. לא צירפת הודעת שגיאה או תיאור של מה לא פועל [ומה כן אתה מקבל בעת נסיון לקרוא לדף].
2. אם זה קוד ה-php כפי שהוא כתוב באופן מעשי, יש לך שגיאה תחבירית לפני הקריאה לפונקציה האחרונה. חסר התו ; (נקודה פסיק) לאחר שרשור המחרוזת.

קראתי קצת על UPDATE וזה מה שעשיתי:

קוד PHP:

<?
include("db.php");

UPDATE multiplayer
SET x=$_POST['x'], y=$_POST['y'] WHERE id=$_POST['id'];

?>

אבל יש שגיאה תחבירית בשורה UPDATE multiplayer.

תודה לכל אלו שעזרו, קראתי את האשכול שוב והבנתי את הטעות שלי.