Problem bei SQL Abfrage

fdm · 29.12.2008, 18:16

Hallo liebe Community,

Ich habe ein kleines Problem was aber sich als großes herausgestellt hat

Mein Source:

PHP-Code:

  
<?
$abfrage = "SELECT * FROM tabelle ";
$ergebnis= mysql_query($abfrage);
$row = mysql_fetch_object($ergebnis);
echo "$row->headline_$url";
?>

Das Problem fängt ab echo an. Die $url wird durch den GET Parameter übertragen. Als Beispiel, es müsste durch den GET Paramater am Ende zb.:

PHP-Code:

  echo "$row->headline_home";

als Ergebniss rauskommen. Wenn ich nur

PHP-Code:

  echo "$row->headline_home";

eingebe, also ohne GET Parameter dann geht es, also ist der Rest schon mal richtig, nur das hinzufügen von $url geht nicht.

Ich habe versucht es so zuschreiben:

PHP-Code:

  echo "$row->headline_'.$url.'";

doch das geht hier auch nicht. Wäre nett, wenn ihr mir helfen könntet.

Danke euch im Vorraus !

David · 29.12.2008, 18:41

PHP-Code:

  <?php
if ( !isset($_GET['url']) ) {
  echo 'kein Feld angegeben';
}
else {
  $mysql = mysql_connect('..', '..', '..') or die(mysql_error());
  mysql_select_db('..', $mysql) or die(mysql_error());
  
  // Hier solltest Du Dir noch etwas gegen SQL Injections einfallen lasen
  $url = $_GET['url'];
    
  $abfrage = '
    SELECT
      `headline_'. $url . '`
    FROM
      tabelle
  ';
  
  $ergebnis= mysql_query($abfrage, $mysql) or die(mysql_error());
  while( false!==($row=mysql_fetch_array($ergebnis, MYSQL_ASSOC)) ) {
    echo $row['headline_'.$url], "<br />\n";
  }
}
?>

fdm · 29.12.2008, 18:44

Ich probier mal das von dir aus, danke dir

und so kann ich mich eig auch schützen gengen injections oder:

PHP-Code:

  <?
$url=$_GET["url"];  

if (!isset($url)) {
    $url=home;
}


$urlarray=array("home", "aboutme", "archiv", "links");

if(!in_array($url,$urlarray))  // Wenn GET Parameter nicht im Array drin ist, dann exit(); - Schutz für Exploits
    {
        Header("Location: error.htm");  // Weiterleitung zur Errorpage.
        exit();
           }
?>

David · 29.12.2008, 18:45

Ja, das nennt sich whitelist und ist sicher.

Phoscur · 31.12.2008, 15:01

Zitat:

Zitat von fdm

Ich habe versucht es so zuschreiben:

PHP-Code:

  echo "$row->headline_'.$url.'";

doch das geht hier auch nicht. Wäre nett, wenn ihr mir helfen könntet.

Wie du am Syntaxhighlighting siehst, ist das ein String, in welchem PHP versuchen wird die Variablen zu interpretieren.

PHP-Code:

  echo $row->{'headline_'.$url};

Könntest du mal versuchen.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
MySQL Abfrage Problem mit Where	parti02	Datenbanken	14	23.10.2008 14:52
[Erledigt] Syntax Problem bei (ODBC) MSAccess Abfrage	Patrick H.	Datenbanken	6	15.08.2008 09:50
[Erledigt] MySql Frage: Problem mit einer etwas lomplexeren Abfrage	tomtaz	Datenbanken	5	24.06.2008 22:36
Abfrage Problem	mastermix	Datenbanken	2	06.08.2007 11:45
[Erledigt] Problem mit Abfrage		Datenbanken	0	20.10.2005 17:02
[MySQL] Problem mit einer verschachtelten Abfrage	aktionkuba	Datenbanken	7	06.04.2005 14:07
Problem mit abfrage.		PHP Tipps 2005	13	30.03.2005 18:00
Problem mit abfrage und co		PHP Tipps 2005	6	29.03.2005 16:38
Problem bei benutzername und passwort abfrage ?		PHP Tipps 2005	4	15.03.2005 17:29
Abfrage Problem (vermute ich)		PHP Tipps 2004-2	3	14.12.2004 22:21
[Erledigt] Abfrage LIMIT Problem		Datenbanken	9	08.12.2004 19:05
Problem mit abfrage		Datenbanken	8	05.12.2004 12:46
[Erledigt] Mysql Abfrage Problem!		PHP-Fortgeschrittene	5	27.11.2004 10:22
Problem mit SQL Abfrage	Schiedsrichter	Datenbanken	2	02.08.2004 07:52
Abfrage Problem (addition nicht mehr möglich?)		Datenbanken	2	30.07.2004 15:02

29.12.2008, 18:16
fdm Benutzer Registriert seit: 24.05.2008 Beiträge: 42	Problem bei SQL Abfrage Hallo liebe Community, Ich habe ein kleines Problem was aber sich als großes herausgestellt hat Mein Source: PHP-Code: `<? $abfrage = "SELECT * FROM tabelle "; $ergebnis= mysql_query($abfrage); $row = mysql_fetch_object($ergebnis); echo "$row->headline_$url"; ?>` Das Problem fängt ab echo an. Die $url wird durch den GET Parameter übertragen. Als Beispiel, es müsste durch den GET Paramater am Ende zb.: PHP-Code: `echo "$row->headline_home";` als Ergebniss rauskommen. Wenn ich nur PHP-Code: `echo "$row->headline_home";` eingebe, also ohne GET Parameter dann geht es, also ist der Rest schon mal richtig, nur das hinzufügen von $url geht nicht. Ich habe versucht es so zuschreiben: PHP-Code: `echo "$row->headline_'.$url.'";` doch das geht hier auch nicht. Wäre nett, wenn ihr mir helfen könntet. Danke euch im Vorraus !


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

29.12.2008, 18:41
David Erfahrener Benutzer Registriert seit: 05.09.2007 Beiträge: 5.044	PHP-Code: <?php if ( !isset($_GET['url']) ) { echo 'kein Feld angegeben'; } else { $mysql = mysql_connect('..', '..', '..') or die(mysql_error()); mysql_select_db('..', $mysql) or die(mysql_error()); // Hier solltest Du Dir noch etwas gegen SQL Injections einfallen lasen $url = $_GET['url']; $abfrage = ' SELECT `headline_'. $url . '` FROM tabelle '; $ergebnis= mysql_query($abfrage, $mysql) or die(mysql_error()); while( false!==($row=mysql_fetch_array($ergebnis, MYSQL_ASSOC)) ) { echo $row['headline_'.$url], "<br />\n"; } } ?>

29.12.2008, 18:44
fdm Benutzer Registriert seit: 24.05.2008 Beiträge: 42	Ich probier mal das von dir aus, danke dir und so kann ich mich eig auch schützen gengen injections oder: PHP-Code: `<? $url=$_GET["url"]; if (!isset($url)) { $url=home; } $urlarray=array("home", "aboutme", "archiv", "links"); if(!in_array($url,$urlarray)) // Wenn GET Parameter nicht im Array drin ist, dann exit(); - Schutz für Exploits { Header("Location: error.htm"); // Weiterleitung zur Errorpage. exit(); } ?>`

29.12.2008, 18:45
David Erfahrener Benutzer Registriert seit: 05.09.2007 Beiträge: 5.044	Ja, das nennt sich whitelist und ist sicher.