SQL - Query für eine Suchmaschine

[Urishima]

Mahlzeit,

Ich hab mir hier eine kleine SQL Abfrage zusammengebastelt:

$query= "SELECT * FROM doc WHERE titel LIKE '%".$_POST['feld']."%' OR doc LIKE '%".$_POST['feld']."%' ";

In einer anderen Datei wird ein Begriff in ein Feld eingegeben, dieser per Post an diese Datei hier übermittelt und dann mit der Datenbank per LIKE abgeglichen werden. Das ganze wird dann weiter unten gefetched und ausgegeben (im Moment aber nciht relevant).

Es funktioniert aber nicht. Könntet ihr mir sagen wo der Fehler liegt? Ist der Query falsch oder muss ich den Fehler woanders suchen?

MFG

Uri

PS: ich weiß es gibt viele Beispiele dafür aber die sind mal so und mal so geschrieben und funktionierten bisher auch nicht. Alles was ich brauche ist ne Angabe wo der Fehler zu suchen ist.

[Urishima]

*grummel grummel*

Man sollte die Variablen in der Ausgabe auch richtig schreiben -.-

Sprich: hat sich erledigt, Problem saß ca 50 cm vorm Bildschirm.

(Sorry für doppelpost aber ich kann nicht mehr Editieren)

[Whatever]

Daten aus externen Quellen ungeprüft und unescaped in einem Query zu übernehmen ist ungefähr so das dümmste was man machen kann.

[Urishima]

Daten aus externen Quellen ungeprüft und unescaped in einem Query zu übernehmen ist ungefähr so das dümmste was man machen kann.

Meinst du damit das übergeben der Variablen von einer Datei in eine andere oder wie?

[baba007]

nein, er meint etwa das :

$_POST['feld']=";DROP DB irgendwas;commit;";

[/PHP]

was meinst du wie die DB darauf reagiert ?