Veröffentlicht 13. März 200718 j Mahlzeit, Ich hab mir hier eine kleine SQL Abfrage zusammengebastelt: $query= "SELECT * FROM doc WHERE titel LIKE '%".$_POST['feld']."%' OR doc LIKE '%".$_POST['feld']."%' "; In einer anderen Datei wird ein Begriff in ein Feld eingegeben, dieser per Post an diese Datei hier übermittelt und dann mit der Datenbank per LIKE abgeglichen werden. Das ganze wird dann weiter unten gefetched und ausgegeben (im Moment aber nciht relevant). Es funktioniert aber nicht. Könntet ihr mir sagen wo der Fehler liegt? Ist der Query falsch oder muss ich den Fehler woanders suchen? MFG Uri PS: ich weiß es gibt viele Beispiele dafür aber die sind mal so und mal so geschrieben und funktionierten bisher auch nicht. Alles was ich brauche ist ne Angabe wo der Fehler zu suchen ist.
13. März 200718 j Autor *grummel grummel* Man sollte die Variablen in der Ausgabe auch richtig schreiben -.- Sprich: hat sich erledigt, Problem saß ca 50 cm vorm Bildschirm. (Sorry für doppelpost aber ich kann nicht mehr Editieren)
13. März 200718 j Daten aus externen Quellen ungeprüft und unescaped in einem Query zu übernehmen ist ungefähr so das dümmste was man machen kann.
13. März 200718 j Autor Daten aus externen Quellen ungeprüft und unescaped in einem Query zu übernehmen ist ungefähr so das dümmste was man machen kann. Meinst du damit das übergeben der Variablen von einer Datei in eine andere oder wie?
13. März 200718 j nein, er meint etwa das : $_POST['feld']=";DROP DB irgendwas;commit;"; [/PHP] was meinst du wie die DB darauf reagiert ?
Archiv
Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.