fm nicht verstehe...

**Gast** · 24.02.2008, 10:13

An den Zeilen ist soweit alles okay. Nur deine SQL-Query hat einen Fehler. Zeig einfach mal, wie du $abfrage und $loesch zuweist bzw. den Inhalt der Variablen.

**skys** · 24.02.2008, 12:36

hi okoman,

und danke für deine antwort(en)

inzwischen heißt es :

30:You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1

bzgl diesem code :

PHP-Code:


<?php

error_reporting( E_ALL );

include("incl.php");



$wegid = $_POST['wegid'];

$name = $_POST['name'];

?>



<body>

<br>

<hr noshade size="1">



<form method="post" name="bla" action="">

<input type="hidden" name="hiddenstring" value="on" />

  <table width="100%" border="0" cellpadding="0" cellspacing="4">

    <tr>

      <td align="center">Zu löschende ID:<input name="wegid" 

type="text" size="3" maxlength="3"></td>

    </tr>

  </table>

<p style="margin-top: 10; margin-bottom: 10">

<hr noshade size="1">

<div align="center"><input type="submit" value="Absenden" name="Absenden"></div>



</form>

<hr noshade size="2">

</body>



<?php

$loesch = "DELETE FROM taba WHERE id = $wegid";

$loeschen = mysql_query($loesch)or die(__LINE__ .':'. mysql_error());

?>

ursprüngliche idee war
- eine tabelle a mit daten (ok)
- und ein formular, mit dessen hilfe ich die id des zu löschenden datensatzes eingeben kann (formular besteht)
- dieser datensatz sollte aus tabelle a gelöscht werden (funktioniert nicht)
- und gleichzeitig sollte datum, gelöschte id und zb name in die tabelle eingetragen werden (auch mittels formular + ist auch das einzige was klappt)

versuche nun also ein formular mit 1 feld für die id - aber löscht hinten und vorne nix.

schreibe ich WHERE id = $wegid bekomme ich das formular wenigstens noch angezeigt.
sowie ich etwas wie zb WHERE id = $_POST['wegid'] oder mit http_post_vars schreibe, sehe ich nur eine weiße seite.

bin für jede idee dankbar.

viele grüße, skys

**tontechniker** · 24.02.2008, 14:00

Du solltest $wegid escapen, voralledem musst du natürlich prüfen ob die Variable überhaupt existiert bevor du die Query ausführst. mysql_real_escape_string und empty/isset helfen da weiter.

**skys** · 24.02.2008, 14:15

hi tontechniker,

voralledem musst du natürlich prüfen ob die Variable überhaupt existiert

achsooo, das muß man ?
ich dachte das wäre freiwilliger luxus sozusagen bzw gar nicht nötig, wenn man sich sicher ist, daß man das richtige eingibt.

escapen sagt mir ad hoc nichts, aber danke, vielleicht komme ich damit endlich weiter.

viele grüße, skys

**tontechniker** · 24.02.2008, 14:24

ich dachte das wäre freiwilliger luxus sozusagen bzw gar nicht nötig, wenn man sich sicher ist, daß man das richtige eingibt.

Wenn du das Formular und den Code in einer Datei hast ist das doch klar - wenn du das Formular zum ersten mal aufrufst (ohne Daten) würde die Abfrage ja auch ausgeführt werden.

escapen sagt mir ad hoc nichts, aber danke, vielleicht komme ich damit endlich weiter.

Im Moment schreibst du $wegid ja unverändert in die Query dadurch kann man natürlich von außen beliebigen Code einschleusen, zum Beispiel statt einer ID "1 OR 1=1" senden. Damit würden einfach alle Daten in deiner Tabelle gelöscht. Deswegen machst du folgendes:

PHP-Code:


$loesch = "DELETE FROM taba WHERE id = '" . mysql_real_escape_string ( $wegid ) . "'";

**3DMax** · 24.02.2008, 14:31

Original geschrieben von tontechniker
Im Moment schreibst du $wegid ja unverändert in die Query dadurch kann man natürlich von außen beliebigen Code einschleusen, zum Beispiel statt einer ID "1 OR 1=1" senden.

und wozu ist mysql_real_escape_string dabei gut?

hier müsste man die id schon nach int casten.

**skys** · 24.02.2008, 14:33

PHP-Code:


$loesch = "DELETE FROM taba WHERE id = '" . mysql_real_escape_string ( $wegid ) . "'";

puh, danke !!
habe nämlich gerade gerätselt, wie ich das unterbringe *greenhorn*

kam mit diesem beispiel nicht so gut klar :

PHP-Code:


$query = sprintf("INSERT INTO products (`name`, `description`, `user_id`) VALUES ('%s', '%s', %d)",

                    mysql_real_escape_string($product_name, $link),

                    mysql_real_escape_string($product_description, $link),

                    $_POST['user_id']);

das php-manual ist manchmal einfach noch zu 'hoch'

isset habe ich auch schon öfters vergeblich versucht nachzuvollziehen, wozu das gut ist, weil es mir schon ziemlich häufig begegnet ist. wenn es das gleiche wie empty ist, bekomme ich eine leise ahnung, da die erklärung bei empty etwas verständlicher ist.

danke nochmals !
*gleich mal ausprobiere*

**skys** · 24.02.2008, 14:48

[COLOR=deeppink]GEILLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL

ES KLAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAPPPPPPPPPPPPTTT !

)))))))))))))))))))))))

HEUREKAAAAAAAAAAAAA !!!!!!!

das pink muß einfach sein

*hüpftanzfreutaumel................

*

DANKE !!![/COLOR]

**tontechniker** · 24.02.2008, 15:01

und wozu ist mysql_real_escape_string dabei gut? hier müsste man die id schon nach int casten.

Wenn du Anführungszeichen benutzt funktioniert das doch wunderbar ... natürlich ist es in diesem Fall sinnvoller auf intval zu prüfen, so lässt sich das aber für alle Werte anwenden.

isset habe ich auch schon öfters vergeblich versucht nachzuvollziehen, wozu das gut ist, weil es mir schon ziemlich häufig begegnet ist. wenn es das gleiche wie empty ist, bekomme ich eine leise ahnung, da die erklärung bei empty etwas verständlicher ist.

Das gleich ist es nicht. Die genauen Unterschiede finden sich hier in der ersten Tabelle (noch etwas schöner auch hier).

OffTopic:

HEUREKAAAAAAAAAAAAA !!!!!!!

**skys** · 25.02.2008, 08:45

die tabellen sind wirklich mal etwas anfängerfreundlicher und verständlicher, danke

fm nicht verstehe...