Variable in SQL anweisung

kampfgnom · 15.01.2007, 17:21

Ich möchte eine Detail ansicht dynamisch gestalten und deshalb den inhalt und den namen aus einer MySQL-Tabelle auslesen!
den Namen der Ausgelesen werden soll übergebe ich per GET-variable
Aber wenn ich die sql anweisung so gestalte wie ci hsie jetzt hab:

PHP-Code:

  $sql = "SELECT * FROM `member` WHERE `name` == $_GET['name']";

Allerdings bekomm ich da ein Fehler das ich einen parse error habe
Ich denke das es an der GET-Variable liegt aber wie kann ci hes ändern das es passt?!

Grüße
Gabriel

Ben · 15.01.2007, 17:25

1. nur ein =, == ist PHP-Syntax.
2. Du solltest den GET-Parameter vorher validieren. Stichwort: SQL-Injection.

Basti · 15.01.2007, 17:27

\edit: War wohl zwei Minuten zu langsam... *g

PHP-Code:

  
if (!isset($_GET['name']))
    return null;

$sName = mysql_real_escape_string($_GET['name']);

$sql = "SELECT * FROM `member` WHERE `name` = '$sName'";

Also:
* Prüfen, ob $_GET['name'] überhaupt existiert;
* Niemals externe Variablen (wie hier ein GET-Parameter vom Benutzer) direkt in eine Datenbank-Query (oder sonstwohin, wo Steuerzeichen den Kontex durchbrechen können) einbinden, sindern mysql_real_escape_string() benutzen!
* Vergleich mit nur einem "="

* magic_quotes.gpc natürlich immer berücksichtigen

Basti

kampfgnom · 16.01.2007, 16:39

Ahh danke schön, stimmmt das doppelte = is PHP das kann nicht funzen

grüße
Gabriel

15.01.2007, 17:21	Nach oben #1
kampfgnom Gabriel Registriert seit: 27.09.2006 Ort: Radebeul Beiträge: 406	Variable in SQL anweisung Ich möchte eine Detail ansicht dynamisch gestalten und deshalb den inhalt und den namen aus einer MySQL-Tabelle auslesen! den Namen der Ausgelesen werden soll übergebe ich per GET-variable Aber wenn ich die sql anweisung so gestalte wie ci hsie jetzt hab: PHP-Code: $sql = "SELECT * FROM `member` WHERE `name` == $_GET['name']"; Allerdings bekomm ich da ein Fehler das ich einen parse error habe Ich denke das es an der GET-Variable liegt aber wie kann ci hes ändern das es passt?! Grüße Gabriel

15.01.2007, 17:25	Nach oben #2
Ben Benjamin Klaile Registriert seit: 02.12.2004 Ort: Remagen Beiträge: 4.480	1. nur ein =, == ist PHP-Syntax. 2. Du solltest den GET-Parameter vorher validieren. Stichwort: SQL-Injection. __________________ Mehr TuS Koblenz geht nicht ... - TuS Koblenz Forum Aktuell ... Kaiserslautern kommt in die Festung Oberwerth U14 erreicht Sieg im Testspiel gegen SF Troisdorf Testspiel gegen SV Wehen-Wiesbaden in Nassau E-Jugend Blitzturnier auf dem Oberwerth SV Ried gegen SK Rapid Wien

15.01.2007, 17:27	Nach oben #3
Basti Bastian Fenske Registriert seit: 04.01.2006 Ort: Kassel Beiträge: 826	\edit: War wohl zwei Minuten zu langsam... g PHP-Code: if (!isset($_GET['name'])) return null; $sName = mysql_real_escape_string($_GET['name']); $sql = "SELECT FROM `member` WHERE `name` = '$sName'"; Also: * Prüfen, ob $_GET['name'] überhaupt existiert; * Niemals externe Variablen (wie hier ein GET-Parameter vom Benutzer) direkt in eine Datenbank-Query (oder sonstwohin, wo Steuerzeichen den Kontex durchbrechen können) einbinden, sindern mysql_real_escape_string() benutzen! * Vergleich mit nur einem "=" * magic_quotes.gpc natürlich immer berücksichtigen Basti

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
php variable in JS anzeigen	Galge	JavaScript und AJAX	9	28.03.2007 14:44
[Smarty] Variable in variable aus Konfigurationsdatei umwandeln?	thrawn	PEAR, PECL und Frameworks	9	20.07.2006 11:52
[Realisierung] [Brainstroming] Variable Wertanzahl	Du-weisst-schon-wer	Datenbanken	5	08.01.2006 20:41
Probleme mit Variable in SQL Anweisung	Doggi	Datenbanken	10	15.12.2005 14:04
Variablennamen mit Variable.	Creativ	PHP-Programmierung	9	30.11.2005 08:40

16.01.2007, 16:39	Nach oben #4
kampfgnom Gabriel Registriert seit: 27.09.2006 Ort: Radebeul Beiträge: 406	Ahh danke schön, stimmmt das doppelte = is PHP das kann nicht funzen grüße Gabriel

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen