Ich möchte das der eingelogte User angezeigt wird.Also Vorname und Nachname anhand der ID.

Datenbank ist soweit vorbereitet.(ID,Name,Vorname etc.)

wie muss das dann ausgelesen werden?

wie muss das dann ausgelesen werden?

Na wie immer

SELECT Vorname, Nachname FROM user WHERE id = $ID

gug dir mal funktionen wie

mysql_connect

mysql_query

mysql_fetch_object

unsw. auf www.php.net an.

Ok soweit ist klar. Ich habe allerdings ein dynamisches Menü in der index.php welches die Menübezeichnungen aus der Datenbank holt.Wenn ich jetzt also auf den Menüeintrag klicke soll eine PHP Datei geöffnet werden indem sich das Formular befindet.

Also : Wenn klick auf Menüeintrag aus Datenbank dann öffnet sich die Formular.php innerhalb der index.php

Hallo,

kannst Du das nochmal etwas einfacher beschreiben, oder ggf. Code posten?

Grüße,

Torsten

Du hängst an den Link einfach deinen Menüpunkt mit an also z.B.: ...index.php?mod=menu1

dann kannst du in deiner Index.php überprüfen wenn _HTTP_GET['mod'] = menu1 dann include("formular.php")

was du tun kannst ist folgendes:

if(isset($_GET['page']))

  include "pages/".$_GET['page'];[/PHP]

ich empfehle jedoch noch so etwas wie preg_match() ... ansonsten ist das ein scheunentor für hackereien.

@MasterEvil

"_HTTP_GET['mod']" ...die schreibweise kenne ich gar nicht...

erinnert mich an HTTP_GET_VARS ...das währe veraltet.... ?

Ups verwechselt .. also ohne HTTP

@ Aiun:

wie meinst du das mit "preg_match()" anfügen... was sollte das daran ändern?

Versteh ich nicht ganz, lasse mich aber gerne belehren!

das sollte sicherstellen dass nur ein SQL Befehl abgesetzt wird und zwar genau einer von dem Du ausgehen kannst dass es der ist den du absetzen möchtest

Hört sich schonmal gut an.

Aber ich übergeb in der URL doch keine SQL-Strings sondern höchstens Parameter, die dann später eventuell als Teil eines SQL-Strings verarbeitet werden? Also quasi:

$wert = $_GET["var1"];

SELECT `lala`

FROM `tabelle1`

WHERE `feld` = '$wert';

Ich versteh den Sinn immernoch nicht ganz... würde mich aber freuen wenn ihr mich aufklärt?!

Hört sich schonmal gut an.

Aber ich übergeb in der URL doch keine SQL-Strings sondern höchstens Parameter, die dann später eventuell als Teil eines SQL-Strings verarbeitet werden? Also quasi:

$wert = $_GET["var1"];

SELECT `lala`

FROM `tabelle1`

WHERE `feld` = '$wert';

Ich versteh den Sinn immernoch nicht ganz... würde mich aber freuen wenn ihr mich aufklärt?!

manipulier den querystring zB mit:

5;select * from users;

ok?

Jo okay ich versteh euren Ansatz schon...

aber wer baut denn solche abfragen, wo man direkt tabellen-namen und co in nen query einbaut?

Das gibts doch eigentlich nirgends oder?

Normal werden eher so dinge gemacht wie:

SELECT * FROM kategorien WHERE kat=$kat;

Versteht mich nicht falsch, ich denke auch dass man das überprüfen sollte, aber dinge, die per GET übergeben werden, sollten doch eigentlich nur solche flags sein, um z.b. ids zu übergeben? und dann kann / brauch ich ja gar nicht überprüfen ob da was sinnvolles ankommt oder nicht?

ich stimme dir zu NurrE und muss ein paar meiner Vorredner schlagen *g*

Es geht nicht darum den SQL-Tag als Parameter zu übergeben, sondern den Dateinamen den du im Link haben willst.

in deinem Menü werden Links erzeugt die z.B. so aussehen

<a href="index.php?page=formular.php">Formular 1</a>

in deinem PHPCode könnte dann stehen

if(isset($_GET['page']))

  include "pages/".$_GET['page']; [/PHP]

das Preg_match sorgt in diesem fall dafür, das nur einfache PHP Seiten eingebunden werden können, und nur seiten in dem "pages" ordner. Ansonsten kann man viel schand damit treiben. währe also eine überprüfung auf zeichen

[A-Za-Z\.] ... oder so

..mir scheint wir reden ein wenig aneinander vorbei, allesamt *g*

die frage die sich mir stellt, was genau willst du tun ?

eine Seite die Userdaten anzeigt als Formular damit er selbst was ändern kann ?

wie stellst du fest wer eingeloggt ist. Session, Cookie ?

erkläre am besten nochmal was du hast und was du willst, mit Codeusschnitt soweit möglich.

Nachtrag: auch ID's (Zahlenwerte im Normalfall) solltest du auf gültigkeit prüfen. Auch eine ID die über $_GET übermittelt wurde, kann ich Manipulieren....