Не удается отсортировать по дате, но аналогично все норммально с другими пунктами

TheRealKos · 13 Май 2014

hell0w0rd, у меня есть аналогичный запрос, только с предметом и там все как нужно...
Вот собственно он ($_GET['predmet'] это название предмета, тоже в зависимости от выбора)

PHP:

'SELECT * FROM `files`, `users` WHERE `users`.`type_users` = "Студент" AND `files`.`predmet` = "'.$_GET['predmet'].'" AND `files`.`poluchatel_file`=`users`.`id`'

Andkorol · 13 Май 2014

Я таки напомню про SQL injection.

TheRealKos · 13 Май 2014

Andkorol, сделал так, но результат тот же:

PHP:

 { echo "Фильтр <br> Период: ".$_GET['year'];
  $year = $_GET["year"];
  $year = mysql_real_escape_string($year);
$resource= mysql_query("SELECT * FROM `files`, `users`  WHERE `users`.`type_users` = 'Студент' AND `files`.`year` = '$year' AND `files`.`poluchatel_file` = `users`.`id` ORDER by `users`.`group`",$db);
}

Вот функция которая использую mysql_real_escape_string

hell0w0rd · 13 Май 2014

TheRealKos, ау, я тебе говорю, ты вместо того, чтобы правильно джойнить данные, делаешь это не верно
Запрос

PHP:

SELECT * FROM files, users ...

аналогичен

PHP:

SELECT * FROM files CROSS JOIN users ...

А должен быть

PHP:

SELECT * FROM files [INNER|LEFT|RIGHT] JOIN users ...

прочитай про джойны

c0dex · 14 Май 2014

hell0w0rd,In MySQL, JOIN, CROSS JOIN, and INNER JOIN are syntactic equivalents (they can replace each other).

AnrDaemon · 15 Май 2014

TheRealKos написал(а):

Эм...вот:

PHP:

$resource= mysql_query('SELECT * FROM `files`, `users` WHERE `users`.`type_users` = "Студент" AND `files`.`year` LIKE "%'.$_GET['year'].'%" AND `files`.`poluchatel_file` = `users`.`id` ORDER by `users`.`group`',$db);

$_GET['year'] = '"; DROP DATABASE DATABASE(); --'
Теперь выполняйте запрос...

P.S.
После того, как восстановите БД из бэкапа, расскажите, кто вас научил с датами в БД работать строковыми функциями.

hell0w0rd · 15 Май 2014

c0dex, оказывается если добавить where - все равно, что использовать inner join

Пошел учить матчасть...

Andkorol · 15 Май 2014

AnrDaemon написал(а):
$_GET['year'] = '"; DROP DATABASE DATABASE(); --'
Теперь выполняйте запрос...

Не прокатит:

mysql_query() sends a unique query (multiple queries are not supported) ...

artoodetoo · 16 Май 2014

multiple queries не прокатит, зато прокатит сделать UNION и подсмотреть то, что смотреть нельзя. много интересного можно.
в интернетах полно лютых школьников, с чужими сриптами для поиска дырок.

просто никогда не подставляйте в запрос неэкранированные данные.

Не удается отсортировать по дате, но аналогично все норммально с другими пунктами

TheRealKos

Новичок

Andkorol

Новичок

TheRealKos

Новичок

hell0w0rd

Продвинутый новичок

c0dex

web.dev 2002-...

AnrDaemon

Продвинутый новичок

hell0w0rd

Продвинутый новичок

Andkorol

Новичок

artoodetoo

великий и ужасный