PHP MYSQL-Abfrage

Einklappen
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
  • #1

    PHP MYSQL-Abfrage

    Hallo,

    kann man so etwas schreiben?
    PHP-Code:
    $query " SELECT * FROM '".$_POST['tabelle']."' WHERE Name = '".$_POST['name']."' "
    Die Werte der Variablen kommen aus einem Formular.

    Danke

    EDIT:
    php.tags by Abraxax
    Zuletzt geändert von Abraxax; 01.08.2003, 20:57.
    Stichworte: -
  • #2
    klar kann man sowas schreiben. ist sogar (sehr) gut, wie du das geschrieben hast.

    das sehr ist deshalb in klammern, weil du addslashes() nicht berücksichtigst.... aber ansonsten kannst du das so machen, um deine frage zu beantworten....

    btw
    *VERSCHIEB* nach sql
    INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |


    Kommentar

    • #3
      wieso schreibt er eigentlich ob man sowas schreiben kann
      ...
      hat er doch schon
      ... und besucht mal den ebay(TM)-browser überhaupt: Lauge
      und damit das Fragen nen Ende hat: Der Progger davon sitzt mir gegenüber !

      Kommentar

      • #4
        OffTopic:
        @muecke0815
        deinen kommentar hättest du dir sparen können.
        INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |


        Kommentar

        • #5
          da hast du wohl recht. tschuldigung. da war mein klick schneller als mein text - wollte noch mehr schreiben aber es klingelte grad das telefon...

          also was ich noch sagen wollte:

          die sicherheit wird bei so kurzen statements sehr oft vergessen und auch oft in foren bewußt weggelassen, weil viele diese "lästige" programmierung gerne vernachlässigen. - so genug bla bla - was konstruktives:

          nur addslashes ist oft nicht genug gerade bei numerischen werten kann das leicht gehacked werden!!!

          zur allg. sicherheit:
          1. wichtig ist z.b. immer nur einen mysql user zu benutzten mit angepassten rechten - nie den su als connect verwenden

          2. den input vorher überprüfen nicht direkt ins sql -statement wie hier! z.b. mit is_numeric() bzw. ctype_digit()) etc.

          3. und man kann z.b. stored procedures und vorher definierte cursor verwenden (mysql user derzeit noch ausgenommen), um den datenzugriff zu abstrahieren, sodass benutzer nicht direkt auf tabellen oder views zugreifen.

          wer mehr wissen will sollte da mal im inet rumforschen ein interessantes thema! so das wollte ich nochmal bigtail sagen das es nicht ungefährlich ist es so zu schreiben!

          @Abraxax
          hast ja recht - aber du machst auch oft solche kommentare hier im forum. schließlich sind sie nicht ernst gemeint (smily!) und sollten nicht mehr als für ein schmunzeln sorgen
          ... und besucht mal den ebay(TM)-browser überhaupt: Lauge
          und damit das Fragen nen Ende hat: Der Progger davon sitzt mir gegenüber !

          Kommentar

          • #6
            Original geschrieben von muecke0815
            @Abraxax
            hast ja recht - aber du machst auch oft solche kommentare hier im forum. schließlich sind sie nicht ernst gemeint (smily!) und sollten nicht mehr als für ein schmunzeln sorgen
            OffTopic:
            jaja. hast ja recht, was teilweise meine comments angeht... so sind wir nun mal alle ...

            dein post fand ich an dieser stelle nur nicht so angebracht. daher eben.....

            aber egal. du hast das rätsel aufgelöst....
            INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |


            Kommentar

            • #7
              dazu hätte ich nochmal ne frage.

              PHP-Code:
              $check "select user_id from users where user_name like '".
              $user_name."'and user_pass like md5('".$user_pass."') "
              hab ich schon mit mehreren anderen quellen verglichen, die machen's alle genauso. wenn ich aber
              PHP-Code:
                  mysql_db_query('usr_web1073_1'$check);      
              $user_id mysql_result(); 
              ausführen will kommt
              Code:
              Wrong parameter count for mysql_result()
              aber wo liegt der fehler?
              wenn man ein problem nicht lösen kann, dann muß man es eben umgehen!

              Kommentar

              • #8
                http://www.php.net/mysql-result

                da steht wie es eght und daraus ergibt sich zwnagsläufig wo der fehler ist
                Ich denke, also bin ich. - Einige sind trotzdem...

                Kommentar

                • #9
                  Original geschrieben von Cannabeatfan
                  wenn ich aber
                  PHP-Code:
                      mysql_db_query('usr_web1073_1'$check);      
                  $user_id mysql_result(); 
                  ausführen will kommt
                  Code:
                  Wrong parameter count for mysql_result()
                  aber wo liegt der fehler?
                  soll das ein scherz sein?

                  die doku zu mysql-result() beschreibt doch wohl absolut eindeutig, dass mysql_result drei parameter hat, von denen die ersten beiden nicht optional sind!

                  und du gibst gar keinen an, und wunderst die dann über die meldung, dass die von dir beim aufruf der funktion benutzte parameteranzahl unzulässig ist ...?


                  herr, schmeiss ...
                  I don't believe in rebirth. Actually, I never did in my whole lives.

                  Kommentar

                  Vorherige template Weiter
                  Lädt...
                  X