| |
|
|
| |
<html>
<head>
<title>Магазин "Буквофил" - Результаты поиска</title>
</head>
<body>
<h1>Магазин "Буквофил" - Результаты поиска</h1>
<?php
// создание коротких имен переменных
$searchtype=$_POST['searchtype'];
$searchterm=$_POST['searchterm'];
$searchterm= trim($searchterm);
if (!$searchtype || !$searchterm)
{
echo 'Вы не ввели параметры поиска. Пожалуйста, вернитесь на предыдущую страницу и повторите ввод.';
exit;
}
if (!get_magic_quotes_gpc())
{
$searchtype = addslashes($searchtype);
$searchterm = addslashes($searchterm);
}
@ $db = new mysqli('localhost', 'root', 'qwerty', 'books');
if (mysqli_connect_errno())
{
echo 'Ошибка: Не удалось установить соединение с базой данных. Пожалуйста, повторите попытку позже.';
exit;
}
$query = "select * from books where ".$searchtype." like '%".$searchterm."%'";
$result = $db->query($query);
$num_results = $result->num_rows;
echo '<p>Найдено: '.$num_results.'</p>';
for ($i=0; $i <$num_results; $i++)
{
$row = $result->fetch_assoc();
echo '<p><strong>'.($i+1).'. Название: ';
echo htmlspecialchars(stripslashes($row['author_name']));
echo '</strong><br />Автор: ';
echo stripslashes($row['author_name']);
echo '</p>';
}
$result->free();
$db->close();
?>
|
| |
| |
|
|
| |
|
|
| |
для: jelenad
(19.04.2009 в 01:21)
| | | Любопытство заставило погуглить. В общем и целом, код взят из какой-то книги "Sams PHP and MySQL Web Development".
Я понимаю, что книга безнадёжно устарела (2003-й год), но писать
$searchtype=$_POST['searchtype'];
//
$searchtype = addslashes($searchtype);
//
$query = "select * from books where ".$searchtype." like '%".$searchterm."%'";
|
, а потом говорить, мол, "Check and filter data coming from user" - просто смешно.
Удалите код, его писали ламеры. | |
| |
|
|
