Variable im DELETE FROM Verwenden

[tore1209]

Hallo zusammen

ich möchte durch Benutzer auswahl bestimmte Tabellen(inhalt) löschen.

Meine SQL-Befehl sieht so aus DELETE FROM $_POST['Table'];

aber es wird nicht gelöscht und die Variable ist nicht leer

danke für eure Ideen

tore1209

[Haschman]

Hast du dir einmal die SQL-Abfrage/Anweisung ausgeben lassen?

Ist diese korrekt?

Wie setzt du diese ab?

Du solltest dir angewöhnen, etwas mehr an infos zu geben. Funktioniert nicht ist keine gültige Fehlerbeschreibung

[tore1209]

ok, sorry

mssql_query("DELETE FROM $_POST['Table']")or die (mssql_error());

und die Verbindung zum Server funktioniert auch

tore1209

[flashpixx]

Die Verwendung einer Postvariablen, vor allem ungeprüft innerhalb einer solchen Anweisung, ist mehr als fahrlässig

[Reinhold]

Moin,

mssql_query("DELETE FROM " . $_POST['Table']) or die (mssql_error());

Ich nehme an, so sollte das funktionieren. Alles andere zum Sinn des ganzen steht schon weiter oben.

Reinhold

[tore1209]

Könnt Ihr mir auch erklären:"Warum das Fahrlässig ist und wie man es richtig schreibt".

ich kenne das nur so

Danke

tore1209

[flashpixx]

Wenn in der Variablen z.B. "mytable; delete database mysql;" drin steht und der User entsprechende Rechte hat, dann wirst Du danach sicherlich mit Deinem DBMS mehr arbeiten können. Alternativ kann man natürlich da noch ganz andere Statements einsetzen...

[tore1209]

Vielen Dank für die Infos.

Das auslesen über die _POST-Variable funktioniert wieso nicht.

Gibt es da noch andere Möglichkeiten um dies zu ermöglichen

bin für jede Ratschlag dankbar

[etreu]

Dann zeig doch mal den konkreten Code. Es reichen ja auch 3 zeilen.

Probier mal:

$table = $_POST['table'];

$sql = "... $table";

[/PHP]

Wie sieht denn dein generiertes Statement aus? Verwendest du einfache oder doppelte Anführungszeichen?