$result = mysql_query("INSERT INTO product (Name, Price, Manufacture, Type, Articles, Desc, Description) VALUES ('$Name', '$Price', '$Manufacture', '$Type', '$Articles', '$Desc', '$Description')", $connect) or die (mysql_error());

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'Desc, Description) VALUES ('Корпус на Motorola', '654грн.', 'Motorola', 'Корпус'' at line 1
----------------------------------------------------------

как понял я что то с версией Сервера баз(а точнее как понял я - что то с синтаксисом)

или я не прав?

$Name = mysql_real_escape_string($Name);
// и тд...

$query = "INSERT INTO `product` (`Name`, `Price`, `Manufacture`, `Type`, `Articles`, `Desc`, `Description`) VALUES ('$Name', '$Price', '$Manufacture', '$Type', '$Articles', '$Desc', '$Description')";
$result = mysql_query($query, $connect) or die (mysql_error()); 

<?php include("../options.php");

if(isset($_POST['Name'])) {$Name = $_POST['Name'];}

if(isset($_POST['Price'])) {$Price = $_POST['Price'];}

if(isset($_POST['Manufacture'])) {$Manufacture = $_POST['Manufacture'];}

if(isset($_POST['Type'])) {$Type = $_POST['Type'];}

if(isset($_POST['Articles'])) {$Articles = $_POST['Articles'];}

if(isset($_POST['Desc'])) {$Desc = $_POST['Desc'];}

if(isset($_POST['Description'])) {$Description = $_POST['Description'];}



if (isset($Name) && isset($Price) && isset($Manufacture) && isset($Type) && isset($Articles) && isset($Desc) && isset($Description))

{

$query = "INSERT INTO 'product' ('Name', 'Price', 'Manufacture', 'Type', 'Articles', 'Desc', 'Description') VALUES ('$Name' ,'$Price', '$Manufacture', '$Type', '$Articles', '$Desc', '$Description')";

$result = mysql_query($query, $connect) or die (mysql_error()); 

if($result == 'true') {echo "Товар добавлен";} else { echo "Товар не добавлен";}

}

else
{

echo "Вы заполнели не все поля";

}
?>

вот так щас выглядит,
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''product' ('Name', 'Price', 'Manufacture', 'Type', 'Articles', 'Desc', 'Descript' at line 1
это выдает

Guest
А зачем ты кавычки поменял? просто скопипасти то, что я тебе написал

блин, токо заметил , а что эт оза кавычки, почему они отличаюся и как их ставить, этот момент вообще увидел первый раз

Guest
Все string значения ты должен заносить в одинарные кавычки ' , все остальное в `

Dron19
Что ты имеешь ввиду под "защищать бд надо немного по другому, учитывая magic_quotes_gpc, то есть не надеяться на него, а проверять его состояние и в зависимости от этого делать защиту "

ну блин, давай я тебе что бы не срать сюда, напишу в личку?

Dron19
Да мне-то не нужно этого объяснять, а вот товарищу может понадобится (автору темы)

а ну ладно, я всего лишь хотел сказать, что просто так написать перед добавлением в бд $sql = mysql_real_escape_string($sql); недостаточно, а в некоторых случаях чревато ошибкой

Гость_Александр
Загляни ко мне в подпись. Начни с последней ссылки.

Dron19
Смотря какие данные заносишь. Все числа лучше integer делать, все html-содержащие данные через htmlspecialchars, все текстовые данные можно через base64_encode , но это с условием, что поиск не будет осуществляться по этим данным. А в остальных случаях mysql_real_escape_string и addslashes помогают.

Snus
Про "html-содержащие данные через htmlspecialchars" забудь!

Функция htmlspecialchars используется только для вывода данных и ни в коем случае не для форматированием перед отправкой в бд.

совместно addslashes и mysql_real_escape_string нельзя использовать
И аддслэшес не нужна, если вкл magic_quotes_gpc, при ее включенном состоянии нужно данные, которые приходят из пост или гет обрабатывать stripslashes и только потом mysql_real_escape_string

aH6y, нет, можно и так и так делать, когда ты добавляешь в бд с этой функцией, то там уже хранится безопасный код, а когда выводишь, будет по сути одно и тоже, но если неувязочка с защитой от sql, то при выводе этот код выполнится, так что лучше хранить там уже защищенный вид...

aH6y
Обоснуй

Ребят всем спасибо, я просто еще по поводу защиты базы не думал, я учю все с нуля и на данный момент (как показала практика) даже с синтаксисом проблемы.Я понимаю щас принцып работы MySql +PHP, как вывести в массив даные с базы, как занести данные в базу, как отредактирывать данные в базе, как создать базу при помощи PHP.Просто по видеоурокам синтаксис был совсем ни такой и кавычек не было тех что мне тут показали и которые привели мой код в действие.Теперь все заработало и данные были успешно занесены.Да бы оправдать себя приведу скрин урока в котором этот код без кавычек.
http://photo.qip.ru/users/sorrrrry1/150868...252/full_image/
и у автора товарища Попова(благодоря которому я сдивунлся с мертвой точки в ПХП) в видео все работает, а у меня не заработало. Но слава богу благодоря вам ребята - все работает. Сразу предупрежу что вопросов будет очень много, так как ПХП хочю знать как 5 пальцев.

Появилась такая проблемма, хоть запонил я все поля хоть нет, товар добавляется, тоесть в базе появляется товар только ID а все остальное пусто, хотя есть три проверку в коде, но почему то они не срабатуют, тоесть я нажимаю конпку Добавиьт и мне выдает Товар добавлен, а должно было выводится Не все поля заполнены.

При много извиняюсь, эту тему создал , просто забыл войти.
Получается что if else на проверку заполненых полей не срабатует, еще раз опубликовую код

<?php include("../options.php");

if(isset($_POST['Name'])) {$Name = $_POST['Name'];}

if(isset($_POST['Price'])) {$Price = $_POST['Price'];}

if(isset($_POST['Manufacture'])) {$Manufacture = $_POST['Manufacture'];}

if(isset($_POST['Type'])) {$Type = $_POST['Type'];}

if(isset($_POST['Articles'])) {$Articles = $_POST['Articles'];}

if(isset($_POST['Desc'])) {$Desc = $_POST['Desc'];}

if(isset($_POST['Description'])) {$Description = $_POST['Description'];}



if (isset($Name) && isset($Price) && isset($Manufacture) && isset($Type) && isset($Articles) && isset($Desc) && isset($Description))

{

	$query = "INSERT INTO `product` (`Name`, `Price`, `Manufacture`, `Type`, `Articles`, `Desc`, `Description`)
			  VALUES ('$Name', '$Price', '$Manufacture', '$Type', '$Articles', '$Desc', '$Description')";
	
	$result = mysql_query($query, $connect) or die (mysql_error()); 
	
	if($result == 'true') {echo "Товар добавлен";} else { echo "Товар не добавлен";}

}

else

{

	echo "Заполните все поля";

}
?>

isset - это проверка объявлена переменная или нет. Тебе нужно

if(!empty($Name) && ....

Вместо этого

if (!empty($_POST['Name'])) $Name = $_POST['Name']; 

if(isset($Name,$Price,...

Подскажите где рыть, суть : нужно что б index.php который находится в корне и является главным файлом сайта не перезагружался, то есть что б были блоки Левый блок Правый блок, Футер, Хидер и что б только информация менялась в этих блоках.Праельно ли вырозился или правельное я имею представление об этом, но приведу пример joomla, в ней в index.php разложены позиции и в них выводятся модули и инфо. Пока у меня получается принцып html страничек, то есть у каждого файла сайта одна и таже структура, толкьо в определенных мистах подключаются файлы при помощи include.Постарался изложить подробно.

Знаешь не хочу поучать НО
зайди на тутошний сайт от этот сайт этого форума
и почитай об чём тут идет речь
потом наткнешься на такое форматер кода
уверяю многое станет понятным без вопросов

спасибо, сейчас почитаю.Мне просто нужен толчек в нужном направлении.

Dron19
Snus
http://irbis-team.com/15/5/2

там простой вывод, если ты без нее выведешь, то может пройти XSS, а если ты добавляешь в базу с этой функцией, то зловредный код все равно просто выведется