Suchscript funktioniert nicht

**mermshaus** · 22.03.2017, 16:39

Deine SQL-Query ist fehlerhaft. Den genauen Fehler kannst du dir anzeigen lassen:

- PHP: mysqli::$error - Manual

Die einfachen Anführungszeichen um Tabellenname und Feldnamen sind falsch. Das DBMS hält das so sicherlich für Strings. Entweder ganz auslassen oder Backticks (`…`) verwenden.

Das ist in der Form zudem anfällig für SQL-Injections. Kontextwechsel korrekt durchführen:

- http://wiki.selfhtml.org/wiki/PHP/An...Kontextwechsel
- http://php.net/manual/en/mysqli.real-escape-string.php

**hippo21** · 22.03.2017, 17:14

Hallo
Welche Anführungszeichen meinst du genau.

PHP-Code:


'keywort'

oder

PHP-Code:


 '%" . $suchwort[$i] ."%'"

wenn ich bei

PHP-Code:


$sql = " SELECT * FROM 'linkliste' WHERE " .abfrage  ;

linkliste ohne anführungszeichen setze er halte ich noch eine weitere Fehlermeldung.
[COLOR=DarkGreen]Warning: mysqli::query(): Couldn't fetch mysqli in C:\WTServer\WWW\suche\test3.php on line 41[/COLOR]

**mermshaus** · 23.03.2017, 00:41

Um den Tabellennamen (linkliste) und um die bzw. den Feldname(n) (keywort) gehören keine Anführungszeichen (im Sinne von '…' oder "…").

Du schreibst auch einmal $ergebniss und einmal $ergebnis, sehe ich gerade noch.

Und bei $abfrage fehlt einmal das Dollarzeichen.

**bandit600** · 23.03.2017, 07:33

Und bei

PHP-Code:


$abfrage .="or";

fehlen 2 Blanks

**hippo21** · 23.03.2017, 12:43

Hallo
hab mal geändert was du gesagt hast aber leider ohne Besserung.
Hier mal der geänderte code

PHP-Code:


<header>HTMLworld</header>
<section>
<form method="get">
<input type="text" class="suchfeld" name= "search" />
<input type="submit" class="suchbutton" name= "Suche" />
<form>
<p>
<?php
if (isset($_GET["search"])){
$suchwort =$_GET["search"];
$abfrage = "";

echo "$suchwort";

$suchwort =explode(" ", $suchwort);
for ($i = 0; $i < sizeof($suchwort); $i++)

{
$abfrage .= "keywort like '%" . $suchwort[$i] . "%'";


if($i < (sizeof($suchwort) - 1)) {
$abfrage .="or";

}
}



$db = @new mysqli (  'localhost', 'root1', '####', 'suche1');
if (mysqli_connect_errno() == 0) 
echo "Die datenbank verbindung hat geklappt";
{
$sql = " SELECT * FROM linkliste WHERE  .$abfrage.  ";
$ergebnis = $db->query($sql);

while ($zeile = $ergebnis->fetch_object()) {
echo "<p>";
echo $zeile->linknr;
echo "<nbsp;nbsp>";
echo $zeile->keywort;
echo "nbsp;nbsp;<b>";
echo $zeile->link;
echo "</b></p>";
}
}
$db->close;

}



?>
</p>
</section>
</body>

fehlercode:
[COLOR=DarkGreen]Fatal error: Uncaught Error: Call to a member function fetch_object() on boolean in C:\WTServer\WWW\suche\test3.php:37 Stack trace: #0 {main} thrown in C:\WTServer\WWW\suche\test3.php on line 37
[/COLOR]
gruss micha

**bandit600** · 23.03.2017, 14:44

Lass dir mal $sql anzeigen und die Blanks bei or sind immer noch nicht drin.

Und lass dir mal den Fehler von der DB anzeigen:

PHP-Code:


$ergebnis = $db->query($sql)
  or die ("SQL: $sql <br>Error: " . $db->error);

**hippo21** · 23.03.2017, 15:14

hallo bandit
was sind blanks ?

und der inhalt von echo $sql ist

PHP-Code:


SELECT * FROM linkliste WHERE  .keywort like '%haus%'.

und ich hatte wirklich nach haus gesucht. also das freud mich schon das es bis dahin schonmal funktioniert
gruss micha

**hippo21** · 23.03.2017, 15:48

Achso noch der fehlercode von der DB
[COLOR=DarkGreen] Error: You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near 'like '%hund%'orkeywort like '%haus%'.' at line 1[/COLOR]

**mermshaus** · 23.03.2017, 16:47

Blanks sind Leerzeichen. Nicht "or", sondern " or ".

Zudem passt deine String-Verkettung nicht:

PHP-Code:


$sql = " SELECT * FROM linkliste WHERE  .$abfrage.  ";

Richtig ist eine dieser Varianten:

PHP-Code:


$sql = "SELECT * FROM linkliste WHERE $abfrage";

PHP-Code:


$sql = "SELECT * FROM linkliste WHERE " . $abfrage;

**hippo21** · 29.03.2017, 19:35

Hallo
Der code funktioniert soweit .

Ich wollte ihn jetzt einstellen, sodas andere ihn auch nutzen können. Aber vorher wollte ich noch das linkinjektion problem angehen. und schon gehts wieder nicht.PHP]<section>
<form method="get">
<input type="text" class="suchfeld" name= "search" />
<input type="submit" class="suchbutton" name= "Suche" />

<form>
<p>
<?php
if (isset($_GET["search"])){
$suchwort = [COLOR=DarkGreen]mysqli_real_escape_string ($_GET['search']);[/COLOR]

$abfrage = "";

echo "$suchwort";

$suchwort =explode(" ", $suchwort);
for ($i = 0; $i < sizeof($suchwort); $i++)

{
$abfrage .= "keywort like '%" . $suchwort[$i] . "%'";

if($i < (sizeof($suchwort) - 1)) {
$abfrage .=" or ";

}
}

$db = @new mysqli ( 'localhost', 'root', '', 'suche');
if (mysqli_connect_errno() == 0)
echo "Die datenbank verbindung hat geklappt";
{
$sql = "SELECT * FROM linkliste WHERE " . $abfrage; ;
echo "$sql";

$ergebnis = $db->query($sql)

or die ("SQL: $sql <br>Error: " . $db->error);

while ($zeile = $ergebnis->fetch_object()) {
echo "<p>";
echo $zeile->linknr;
echo " &nbsp";
echo $zeile->keywort;
echo "&nbsp &nbsp<b>";
echo $zeile->link;
echo "</b></p>";
}
}
$db->close;

}

?>
</p>
</section>[/PHP]

fehlermeldung:
[COLOR=DarkGreen]Warning: mysqli_real_escape_string() expects exactly 2 parameters, 1 given in C:\WTServer\WWW\suche\index.php on line 27

[COLOR=Black]Bei php 5.5. funktionirt das noch ( ohne (i))
gruss micha
[/COLOR][/COLOR]

**bandit600** · 29.03.2017, 21:19

Man darf aber auch mal die Doku bemühen!

Siehe PHP: mysqli::real_escape_string - Manual

**hippo21** · 02.04.2017, 12:11

Hallo nochmal

Allso ich raffs nicht.

Erwartet [COLOR=DarkGreen]mysqli_real_escape_string [COLOR=black]immer 2 Variable??? Aber ich habe doch nur eine ( Get ... ). Die erklarung auf deiner verlinkten seite verstehe ich nicht.

Grus Micha
[/COLOR][/COLOR]

**bandit600** · 02.04.2017, 18:02

Beachte doch mal die Beispiele in der Doku, was anderes könnten wir dir auch nicht schreiben.

**hippo21** · 02.04.2017, 20:11

Also ich verstehe das Beispiel so

PHP-Code:


$city = mysqli_real_escape_string($link, $city);

$link ist die datenbank verbindung. Die habe ich ja nicht, den die kommt ja erst später. und das würde keinen sinn machen. $city ist eigentlich eine feste größe die unabhängig von sonstigen werten hier durch einen wert ergänzt wird.

Ich brauche aber doch nur den get wert. Miuss ich die datenbank verbindung vorher machen. aber das ist ja eigentlich blödsinn.
Mein neuster versuch ist also dieser

PHP-Code:


$suchwort = mysqli_real_escape_string ($_GET['search'], $suchwort);

Aktuelle felermeldung
[COLOR=DarkGreen]Warning: mysqli_real_escape_string() expects parameter 1 to be mysqli, string given in C:\WTServer\WWW\suche\index.php on line 27[/COLOR]

Immer hin nur noch einfehlender Parameter . Also Ich glaube das dies an der get Übergabe liegt . Nur ich habe kein ahnung wieso.

gruss aus Kaiserslautern
Micha

Suchscript funktioniert nicht