Problem mit Datenbankabfrage

**Melewo** · 05-05-2013, 19:33

Wenn Du erst beginnst, dann beginne gleich mit MySQLi, drum nur ein Beispiel, dass Du erst einmal eine Ausgabe erhältst bzw. eine Vorstellung davon. Habe ich jetzt nicht extra getestet.

PHP Code:


$anfrage  = "SELECT * FROM Daten Where FELD_NAME_1 = '".$start."' AND FELD_NAME_2 = '".$ziel."' AND FELD_NAME_3 = '".$datum."'";
$ergebnis = mysql_query($anfrage);

if (!$ergebnis) { exit("Fehler bei Ergebnis!");
}

$row = mysql_fetch_assoc($ergebnis);

$feldname_1 = htmlspecialchars($row["FELD_NAME_1"], ENT_QUOTES);
$feldname_2 = htmlspecialchars($row["FELD_NAME_2"], ENT_QUOTES);        
$feldname_3 = htmlspecialchars($row["FELD_NAME_3"], ENT_QUOTES);

echo $feldname_1." - ".$feldname_2." - ".$feldname_3."\n";

Wenn mehr als ein Datensatz ausgeben werden soll, so kannst Du gleich das erste Beispiel übernehmen:

PHP: mysql_fetch_assoc - Manual

**Westdesign88** · 05-05-2013, 20:57

Danke für Ihre Hilfe aber weder Ihr Code noch das Beispiel hat funktioniert ich bin echt am verzweifeln Ich denke das ist einfach zu hoch auf meine alten Tage!

**mephisto111** · 05-05-2013, 21:16

Anführungszeichen

Hallo,

man kann Fehler doch auch nutzen, um daraus zu lernen. Probieren Sie's doch mal mit

$ergebnis=mysql_query($anfrage);

in der vorletzten Zeile. Weitere Einzelheiten:

PHP: mysql_query - Manual

**Melewo** · 05-05-2013, 22:34

Originally posted by Westdesign88 View Post

...und hab dort die Tabelle "Daten" mit den Feldern "Von" "Nach" "Datum" und "Kosten".

Ich weiß ja nicht, was Du da machst, doch wenn ein Feld "Von" und ein anderes "Nach" benannt wurde, dann musst Du die Feldnamen auch benutzen.

PHP Code:


$anfrage  = "SELECT * FROM Daten Where Von = '".$start."' AND Nach = '".$ziel."'";
$ergebnis = mysql_query($anfrage);

if (!$ergebnis) { exit("Fehler bei Ergebnis!");
}

$row = mysql_fetch_assoc($ergebnis);

$feldname_1 = htmlspecialchars($row["Von"], ENT_QUOTES);
$feldname_2 = htmlspecialchars($row["Nach"], ENT_QUOTES);        
$feldname_3 = htmlspecialchars($row["Datum"], ENT_QUOTES);

echo $feldname_1." - ".$feldname_2." - ".$feldname_3."\n";

Wenn es daran nicht liegt, so halt die Fehler, wie in den einzelnen Beispielen beschrieben, suchen.

**ArthurDent42** · 17-05-2013, 15:27

Hallo Westdesign88,

es ist nie zu spät um zu lernen!
Aber wenn man lernt, dann auch gleich richtig ;-)
Beim Verarbeiten der Variablen $start, $ziel und $datum wäre es noch besser, bevor diese Werte in der Query an die Datenbank gegeben werden, die Funktion mysql_real_escape_string() anzuwenden.
Siehe: PHP: mysql_real_escape_string - Manual
Da der Inhalt der Variablen über $_POST an das Skript gegeben wird, könnte jemand diese Werte manipulieren und so versuchen die Datenbank zu hacken. Um sich dagegen zu schützen ist es immer besser die Variablen über mysql_real_escape_string() zu "reinigen".

[COLOR=#000000][COLOR=#0000CC]$start [/COLOR][COLOR=#006600]= mysql_real_escape_string([/COLOR][COLOR=#0000CC]$_POST[/COLOR][COLOR=#006600][[/COLOR][COLOR=#CC0000]'Start'[/COLOR][COLOR=#006600]]);
[/COLOR][COLOR=#0000CC]$ziel [/COLOR][COLOR=#006600]= [/COLOR][/COLOR][COLOR=#000000][COLOR=#006600][COLOR=#000000][COLOR=#006600]mysql_real_escape_string([/COLOR][/COLOR][/COLOR][COLOR=#0000CC]$_POST[/COLOR][COLOR=#006600][[/COLOR][COLOR=#CC0000]'Ziel'[/COLOR][COLOR=#006600]]);
[/COLOR][COLOR=#0000CC]$datum [/COLOR][COLOR=#006600]= [/COLOR][/COLOR][COLOR=#000000][COLOR=#0000CC][COLOR=#000000][COLOR=#006600]mysql_real_escape_string([/COLOR][/COLOR]$_POST[/COLOR][COLOR=#006600][[/COLOR][COLOR=#CC0000]'Datum'[/COLOR][COLOR=#006600]]);

[/COLOR][/COLOR]Wenn Sie darüber mehr erfahren möchten, könnten Sie mal nach "SQL Injection" googeln oder z.B. dies lesen: SQL Injection verhindern – Angriffe vermeiden - howto-co.de

Viele Grüße und Erfolg,
ArthurDent42

Problem mit Datenbankabfrage