PHP PDO возвращает bool false sorta
Когда я запускаю код и результат дампа var, он дает bool false. Я сделал ошибку при вводе и удерживал Shift и 0 на правой цифровой клавиатуре, в поле ввода отображалось эхо http://продажи/form2.php. Я поддержал его и ввел правильную информацию, и он работает, как и ожидалось. Я не знаю, это код или моя система Ubuntu 18.10
<?php
/*include ('includes/validation.php');*/
include ('includes/validationmysql.php');
/*$dbh = new PDO("pgsql:host=$host;dbname=$dbname", $dbuser, $dbpass);*/
$dbh = new PDO('mysql:host=localhost;dbname=sales', $dbuser, $dbpass);
if (!$dbh) {
echo "Error : Unable to open database\n";
} else {
echo "Opened database successfully\n";
}
if (isset($_POST["custID"])){
$custID=$_POST["custID"];
$sql = $dbh->prepare("SELECT CustFirstName, CustLastName, CustAddress, CustCity, CustState, CustZip, CustCellPhone
FROM customers WHERE custID = '".$custID."'");
$sql->execute();
$result = $sql->fetch(PDO::FETCH_ASSOC);
var_dump($custID);
var_dump($result);
}
?>
<!DOCTYPE html>
<html>
<head>
<title>Form</title>
</head>
<body>
<h1>Figure It Out</h1>
<form action = "" method = "post">
<p>CustomerID <input type = "text" name = "custID" value = "<?php echo $custID; ?> " size = "5"><input type = "submit" name = "submit" value = "submit"></p>
<textarea>
<?php
echo $result['CustFirstName']. ' ' . $result['CustLastName']. "\n";
echo $result['CustAddress']. "\n";
echo $result['CustCity']. ' ' . $result['CustState']. ' ' . $result['Custzip']. "\n";
echo $result['CustCellPhone'];
?>
</textarea>
</form>
</body>
</html>
ЕСЛИ вы войдете в поле ввода ex;(DAV123) и отправите его, вы получите логическое значение false для результата.
ЕСЛИ вы войдете в поле ввода ex;(DAV123) и отправите его, вы получите логическое значение false для результата. Я случайно зажал клавишу Shift, когда вводил часть числа 123, которая просто выделяла буквы, когда я отменил ее и снова ввел, она дала правильные результаты. Таким образом, единственный способ, которым это работает правильно, - это если вы удерживаете Shift и нажимаете цифру на цифровой клавиатуре справа. Я пробовал другие комбинации сдвига и чисел вверху, просто пытаясь понять это, но это работает только с числами справа. бьет меня
Ответы 1
Вы уязвимы для SQL-инъекций, потому что неправильно используете подготовленные операторы.
$sql = $dbh->prepare("SELECT CustFirstName, CustLastName, CustAddress, CustCity, CustState, CustZip, CustCellPhone
FROM customers WHERE custID = '".$custID."'");
$sql->execute();
$result = $sql->fetch(PDO::FETCH_ASSOC);
следует читать следующим образом:
$sql = $dbh->prepare("SELECT CustFirstName, CustLastName, CustAddress, CustCity, CustState, CustZip, CustCellPhone
FROM customers WHERE custID = ? ");
$sql->execute([$custID]);
$result = $sql->fetch(PDO::FETCH_ASSOC);
Спасибо, что обратили на это мое внимание
неясно (по крайней мере мне), в чем именно заключается проблема, в каком сценарии. "и это работает, как ожидалось" - показанный код работает как положено?? Когда вы получаете false для результата тогда?