Hoe kan ik de zoekmachine op geselecteerde aspecten laten zoeken ?

dan krijg je dus een kwerie als

Dan krijg je dus een query (nederlands) :-P

simon schreef op 20.06.2006 11:32

dan krijg je dus een kwerie als

Dan krijg je dus een query (nederlands) :-P

nou, ik wil niet veel zeggen, maar Query is volgens mij geen nederlands maar engels / amerikaans :P

EDIT:

@hieronder:

Twan van der Poel schreef op 20.06.2006 11:40

Zon kinderachtige reactioe als die van jullie helpt deze persoon niet met het vinden van een oplossing, dus weer een beetje volwassen jongens

nee, met zo'n reactie help je hem verder (-_-')

Zon kinderachtige reactioe als die van jullie helpt deze persoon niet met het vinden van een oplossing, dus weer een beetje volwassen jongens

uhhmm... heeft iemand een idee wat mijn error kan betekenen ?

Michel schreef op 20.06.2006 14:01

uhhmm... heeft iemand een idee wat mijn error kan betekenen ?

Welke error? Er is inmiddels zo veel gezegd en geschreven, dat het handig is om even aan te geven wat je huidige foutmelding is. Tvens ben ik benieuwd hoe de query er nu uit ziet.

<div id="main">
<h3> Zoeken <h3>

<FORM METHOD="post" ACTION="<?php echo($_SERVER["PHP_SELF"]); ?>">
<SELECT NAME="zoek">
<OPTION value="artikelvpr"> Artikel Naam </OPTION>
<OPTION value="productgroep"> Artikel Groep </OPTION>
<OPTION value="leveranc"> Leverancier </OPTION>
<OPTION value="locatievpr"> Locatie </OPTION>
</SELECT>
<input type="text" name="q" id="q">
<input type="submit">
</form>


<?php
include ('connect.php');

$minimaal = "SELECT * FROM voorraad";
$kweerie = mysql_query($minimaal);

if($_SERVER['REQUEST_METHOD'] == 'POST') {
$query = mysql_query("SELECT * FROM voorraad WHERE '".$_POST['zoek']."' LIKE '%".$_POST['q']."%'")or die (mysql_error());

echo "<table>";
echo "<th>Artikelgroep</th>";
echo "<th>omschrijving</th>";
echo "<th>locatie</th>";
echo "<th>aantal</th>";

if(mysql_num_rows($query) == '') {
echo "Er is niks gevonden dat vergelijkbaar is met u zoekopdracht.<br/>Probeer wat preciezer te zijn.";
}

while($row = mysql_fetch_assoc($query)AND $res= mysql_fetch_assoc($kweerie)) {
echo "<tr>";
echo "<td>";
echo $row['productgroep'];
echo "</td>";
echo "<td>";
echo $row['artikelvpr'];
echo "</td>";
echo "<td>";
echo $row['locatievpr'];
echo "</td>";
echo "<td>";
echo $row['aantal'];
echo "</td>";
echo "</tr>";

}
}


echo "$query";
?>


Hier heb je alles:)


Dit is de error

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in C:\Program Files\xampp\htdocs\mervoorraad\artzoeken.php on line 56
Er is niks gevonden dat vergelijkbaar is met u zoekopdracht.
Probeer wat preciezer te zijn.
Warning: mysql_fetch_assoc(): supplied argument is not a valid MySQL result resource in C:\Program Files\xampp\htdocs\mervoorraad\artzoeken.php on line 60


en dit is de querie

SELECT * FROM voorraad WHERE 'artikelvpr' LIKE '%ergline%'

die heb ik ge-echood

dit:

$query = mysql_query("SELECT * FROM voorraad WHERE artikelvpr LIKE '%".$_POST['q']."%'")or die (mysql_error()); 

is vragen om mysql-injection..
kwaadwillenden kunnen bijvoorbeeld hele tabellen verwijderen of laten zien omdat de post variabele niet gecontroleerd word.

een simpel voorbeeld, we hebben een query als
SELECT * FROM users WHERE id=$_POST['id']

stel dat iemand dit opstuurd; $_POST['id'] = "1 ; DROP TABLE users";

3 maal raden wat er gebeurt. eerst worden alle gegevens over de user met id 1 opgevraagd, vervolgens wordt met een puntkomma die query afgesloten en een nieuwe gestart, een die de hele tabel users leegt!

hoe is dit op te lossen? simpel, controleer altijd of post variabelen geen dingen bevatten als puntkomma's en teksten als "DELETE", "DROP" en "SELECT".

ook selects moet je dus blokkeren, stel je voor dat iemand op het idee komt om dit als post in te voeren: 1 ; SELECT * FROM users

Inderdaad, hij krijg alle gegevens over alle leden te zien, helemaal een ramp als je zo stom bent om de wachtwoorden niet te versleutelen.

Abidou heeft volkomen gelijk, $_POST e.d. hoort nooit zo in een query te staan.

Maar dan het probleem:
SELECT * FROM voorraad WHERE 'artikelvpr' LIKE '%ergline%'
Deze query is fout. Je probeert nu de string 'artikelvpr' te vergelijken met '%ergline%'. Wat je echter wilt, is kijken in een bepaalde kolom of daar '%ergline%' voorkomt. Als 'artikelvpr' een kolomnaam is, mag deze nooit tussen quotes staan. Quotes geven aan dat het gaat om een string.

@ abiboe

zo werkt het niet helemaal hoor.

je krijgt op de manier die jij zegt gewoon een foutmeldig of iets maar hij gaat echt niet die tabel verwijderen

Frank schreef op 20.06.2006 14:23

Abidou heeft volkomen gelijk, $_POST e.d. hoort nooit zo in een query te staan.
....

dat ben ik met je eens maar hij gebruikt een variable na een like.

dan wordt er niet een tabel verwijderd als je zoekt op DROP table user