SQL запрос для получения URL вложения по имени?

[mike2003]

Подскажите SQL запрос для получения URL файла к номеру сообщения с определенным именем?
Т.е. в теме первое сообщение имеет вложенную картинку, например cover.jpg или cover.gif или cover.png
Как мне получить ее URL, что бы вставить в темплайте позже?

[Татьяна5]

Если в простейшем варианте:

Код: Выделить всё

$sql = 'SELECT attach_id
			FROM ' . ATTACHMENTS_TABLE . '
			WHERE real_filename = \'' . $filename . '\'';

Код: Выделить всё

$download_link = append_sid("{$phpbb_root_path}download/file.$phpEx", 'id=' . $attachment['attach_id']);

[mike2003]

а где тут указание на номер темы?? Ну как бы надо сослаться на первое сообщение темы, зная ее номер $row['topic_id']? Как правильно сделать?

[mike2003]

Вот так сделал для имени картинки poster.*

Код: Выделить всё

				$sql3 = 'SELECT a.attach_id, a.post_msg_id, a.physical_filename, a.real_filename, a.extension
				FROM ' . ATTACHMENTS_TABLE . ' a, ' . TOPICS_TABLE . ' t
					WHERE a.topic_id ='.$row['topic_id'].'
					AND a.real_filename LIKE  \'poster.%\'
					AND a.post_msg_id = t.topic_first_post_id';
				$result_cover_attach = $this->db->sql_query_limit($sql3, 1);
				while ($row_cover_attach = $this->db->sql_fetchrow($result_cover_attach))
				{
					$pictures_file = generate_board_url() ."/download/file.php?id=" . $row_cover_attach['attach_id'];
				}
				$this->db->sql_freeresult($result_cover_attach);

[Sheer]

LIKE \'poster.%\'

Потенциальная дырка. Кури функцию sql_escape
Пример использования

Код: Выделить всё

$sql_where = "username_clean = '" . $db->sql_escape(utf8_clean_string($username)) . "'"; 

Или же еще лучше

Код: Выделить всё

$sql_where = (strpos($author, '*') !== false) ? ' username_clean ' . $db->sql_like_expression(str_replace('*', $db->get_any_char(), utf8_clean_string($author))) : " username_clean = '" . $db->sql_escape(utf8_clean_string($author)) . "'"; 

[LavIgor]

Sheer, а можно поподробнее про дырку?
В запросе выше ведь в LIKE данные пользовательского ввода не подставляются.
Из всех данных туда только ID темы попадает, перед которым можно (int) поставить.

[Sheer]

Чё-то я не понял этого

Код: Выделить всё

AND a.real_filename LIKE  \'poster.%\'

там по идее должно быть $poster
Ну в общем, если в имени будет апостроф, то это приведет к фатальной ошибке sql. Может и не дыра, но кавычки в любом случае экранировать надо.

[LavIgor]

Sheer, это не переменная, а префикс.
Автор ищет файлы с префиксом poster., прикреплённые к первым сообщениям тем.

[mike2003]

уху
такой вопрос

SELECT a.attach_id, a.post_msg_id, a.physical_filename, a.real_filename, a.extension

вот это дело сильно нагружает сервер или лучше ограничиться только нужными полями?
некоторые пишут сразу SELECT *

[Sheer]

некоторые пишут сразу SELECT *

Некоторые сразу пишут неправильно или указывают * , если действительно нужна выборка по всем полям.

[mike2003]

Некоторые сразу пишут

какой то бессмысленный ответ. вроде просто спросил
нельзя просто сказать да или нет?

[Sheer]

лучше ограничиться только нужными полями?

Да. Такой ответ устроит?