Значение из $_SERVER подставляется в mysqli запрос
$_SERVER['REQUEST_URI'] - возвращает строку '/electricity'. При помощи substr удаляю слэш и получаю electricity. При отправке запроса оно не может найти таблицу с таким названием. Хотя, когда я на прямую вставляю в запрос название таблицы 'electricity' он норм. отрабатывает. В чем может быть проблема?
require '../database/db.php';
$table = substr(1,$_SERVER['REQUEST_URI']);
$prev = htmlspecialchars($_POST['prev']);
$curr = htmlspecialchars($_POST['curr']);
$sum = htmlspecialchars($_POST['sum']);
$query = Data_Base::query("INSERT INTO `{$table}`(`previous_record`,`current_record`,`sum`) VALUES ({$prev},{$curr},{$sum})");
string substr ( string $string , int $start [, int $length ] )
У вас ошибка в параметрах. Поменяйте местами 1 и $_SERVER['REQUEST_URI']
SQL Инъекция
Остерегайтесь подстановки непроверенных параметров от пользователя в запрос базы данных. Обратившись на адрес:
http://site.ru/table VALUES (1,2,3)`;DROP DATABASE `name`;INSERT INTO
В данном случае, злоумышленник получит возможность удалить вашу базу данных если имеется возможность выполнить несколько запросов. Это один из вариантов возможной атаки.
Пользуйтесь подготовленными запросами с проверкой параметров.
Полезные ссылки
Документация по substr
Подготовленные запросы
-
07:09
-
17:51
-
08:01
-
07:36
-
07:00
-
21:22
-
20:00
-
20:14
-
07:41
- Почему SERVER_ADDR имеет не тот IP 46653 visits
- Как заменить $_SERVER[REMOTE_ADDR] на IP клиента в PHP за двумя Nginx? 30286 visits
- Хочу вывести несколько строк из массива в один div, выводит только много undefined; подскажите, что делать? 22822 visits
- Как через css изменить цвет png изображения? 10161 visits
- Blob video url download 9800 visits
- Php curl запрос через прокси с авторизацией 9058 visits
- Работа с captcha vk api 7976 visits
© "hostciti.net" 24.4.2024 | 15:36