Laravel Türkiye Discord Kanalı Forumda kod paylaşılırken dikkat edilmesi gerekenler!Birlikte proje geliştirmek ister misiniz?

MySQL Multiple Value Yazdırma

wisex

Merhabalar,
Alttaki gibi bir sorgum var. Ürünleri hamburger,kola şeklinde veritabanına kaydediyorum. Ancak post işlemiyle arama yaptırıp sonuçları yazdırırken LIKE sorgusu işe yaramıyor veri yazmıyor. Nasıl bir yol izlemem gerekiyor. Teşekkürler

<?php $wisex = $_POST['yemek']; $sorgu = $baglanti->prepare("SELECT * FROM restoranlar WHERE urunler LIKE '$wisex'"); $sorgu->execute(); ?>

mgsmus

wisex Eğer bir ORM kullanmayacaksanız PDO ile ilgili öğreneceğiniz ilk şey güvenlik. Çoğu kişi bir framework ya da ORM kullanırken bu bilgilerden yoksun olarak ilerliyor (çünkü ORM'ler güvenlik önlemlerini tamamen olmasa da sizin adınıza alırlar), sonra temel koda geçtiklerinde bilmedikleri için hata yapıyorlar. Bunu dememin sebebi bu yazdığınız kodda SQL Injection açığı olması.

$wisex = $_POST['yemek'];

$sorgu = $baglanti->prepare('SELECT * FROM restoranlar WHERE urunler LIKE ?');

$sorgu->execute([
    "%{$wisex}%"
]);

ya da

$wisex = $_POST['yemek'];

$sorgu = $baglanti->prepare('SELECT * FROM restoranlar WHERE urunler LIKE :like');

$sorgu->execute([
    'like' => "%{$wisex}%"
]);

yapmanız gerekiyor.

Eğer PDO kullanacaksanız dokümanları iyi bir şekilde takip etmeniz lazım, yoksa diliniz yanar:
https://www.php.net/manual/en/book.pdo.php

wisex

mgsmus Çok teşekkür ederim hocam. SQL Injection execute tan kaynaklanıyor sanırım. Dökümanı inceliyorum hemen.

mgsmus

wisex LIKE '$wisex' şeklinde dışarıdan gelen veriyi direkt SQL içine eklemenizden kaynaklanıyor.