Проблема поиска и передачи переменных в php и mysql
У меня такой код:
http://www.nomorepasting.com/getpaste.php?pasteid=22615
Это вызывается javascript, упомянутым в этот вопрос:
Моя проблема в том, что я, похоже, не могу передать $ query, потому что ничего не происходит, когда я вызываю этот файл сам по себе.
Я не уверен, как лучше всего контролировать поток информации. Моя логика в порядке? Передать запрос через javascript в файл php, а затем вернуть его с помощью функции?
Я также обеспокоен тем, что использую $ rows, поскольку в этом нет необходимости.
Ответы 2
В коде, на который вы ссылаетесь, я не вижу, где объявлено $ searchString? В вышеупомянутом PHP я вижу эти два отдельных раздела:
$query ='';
if (isset($_GET["query"]))
$query = $_GET["query"];
и код, который вы выполняете позже на странице,
$table = 'Auctions';
$rows = getRowsByArticleSearch($searchString, $table);
Насколько я могу судить в коде, нигде не объявляется $ searchString. Однако более серьезная проблема заключается в том, что вы не очищаете строку запроса перед ее выполнением. В целях безопасности я бы по крайней мере заменил:
$result = mysql_query("SELECT ARTICLE_NO, USERNAME, ACCESSSTARTS, ARTICLE_NAME
FROM {$table}
WHERE upper ARTICLE_NAME LIKE '%" . $searchString . "%'");
с
$result = mysql_query("SELECT ARTICLE_NO, USERNAME, ACCESSSTARTS, ARTICLE_NAME
FROM {$table}
WHERE upper ARTICLE_NAME LIKE '%" . mysql_real_escape_string($searchString) . "%'");
Вы также должны проверить, включены ли магические кавычки, чтобы избежать двойного экранирования.
Я думаю, вы хотите заменить это (строка 36):
$rows = getRowsByArticleSearch($searchString, $table);
с этим:
$rows = getRowsByArticleSearch($query, $table);
И по соображениям безопасности самое меньшее, что вам следует сделать, это материал mysql_real_escape_string из сообщения Spelley.