Urishima Geschrieben 13. März 2007 Geschrieben 13. März 2007 Mahlzeit, Ich hab mir hier eine kleine SQL Abfrage zusammengebastelt: $query= "SELECT * FROM doc WHERE titel LIKE '%".$_POST['feld']."%' OR doc LIKE '%".$_POST['feld']."%' "; In einer anderen Datei wird ein Begriff in ein Feld eingegeben, dieser per Post an diese Datei hier übermittelt und dann mit der Datenbank per LIKE abgeglichen werden. Das ganze wird dann weiter unten gefetched und ausgegeben (im Moment aber nciht relevant). Es funktioniert aber nicht. Könntet ihr mir sagen wo der Fehler liegt? Ist der Query falsch oder muss ich den Fehler woanders suchen? MFG Uri PS: ich weiß es gibt viele Beispiele dafür aber die sind mal so und mal so geschrieben und funktionierten bisher auch nicht. Alles was ich brauche ist ne Angabe wo der Fehler zu suchen ist. Zitieren
Urishima Geschrieben 13. März 2007 Autor Geschrieben 13. März 2007 *grummel grummel* Man sollte die Variablen in der Ausgabe auch richtig schreiben -.- Sprich: hat sich erledigt, Problem saß ca 50 cm vorm Bildschirm. (Sorry für doppelpost aber ich kann nicht mehr Editieren) Zitieren
Whatever Geschrieben 13. März 2007 Geschrieben 13. März 2007 Daten aus externen Quellen ungeprüft und unescaped in einem Query zu übernehmen ist ungefähr so das dümmste was man machen kann. Zitieren
Urishima Geschrieben 13. März 2007 Autor Geschrieben 13. März 2007 Daten aus externen Quellen ungeprüft und unescaped in einem Query zu übernehmen ist ungefähr so das dümmste was man machen kann. Meinst du damit das übergeben der Variablen von einer Datei in eine andere oder wie? Zitieren
baba007 Geschrieben 13. März 2007 Geschrieben 13. März 2007 nein, er meint etwa das : $_POST['feld']=";DROP DB irgendwas;commit;"; [/PHP] was meinst du wie die DB darauf reagiert ? Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.