Hallo zusammen

ich möchte durch Benutzer auswahl bestimmte Tabellen(inhalt) löschen.

Meine SQL-Befehl sieht so aus DELETE FROM $_POST['Table'];

aber es wird nicht gelöscht und die Variable ist nicht leer

danke für eure Ideen

tore1209

Hast du dir einmal die SQL-Abfrage/Anweisung ausgeben lassen?

Ist diese korrekt?

Wie setzt du diese ab?

Du solltest dir angewöhnen, etwas mehr an infos zu geben. Funktioniert nicht ist keine gültige Fehlerbeschreibung

ok, sorry

mssql_query("DELETE FROM $_POST['Table']")or die (mssql_error());

und die Verbindung zum Server funktioniert auch

tore1209

Die Verwendung einer Postvariablen, vor allem ungeprüft innerhalb einer solchen Anweisung, ist mehr als fahrlässig

Moin,

mssql_query("DELETE FROM " . $_POST['Table']) or die (mssql_error());

Ich nehme an, so sollte das funktionieren. Alles andere zum Sinn des ganzen steht schon weiter oben.

Reinhold

Könnt Ihr mir auch erklären:"Warum das Fahrlässig ist und wie man es richtig schreibt".

ich kenne das nur so

Danke

tore1209

Wenn in der Variablen z.B. "mytable; delete database mysql;" drin steht und der User entsprechende Rechte hat, dann wirst Du danach sicherlich mit Deinem DBMS mehr arbeiten können. Alternativ kann man natürlich da noch ganz andere Statements einsetzen...

Vielen Dank für die Infos.

Das auslesen über die _POST-Variable funktioniert wieso nicht.

Gibt es da noch andere Möglichkeiten um dies zu ermöglichen

bin für jede Ratschlag dankbar

Dann zeig doch mal den konkreten Code. Es reichen ja auch 3 zeilen.

Probier mal:

$table = $_POST['table'];

$sql = "... $table";

[/PHP]

Wie sieht denn dein generiertes Statement aus? Verwendest du einfache oder doppelte Anführungszeichen?