SQL-Syntax-Fehler

chickenburner · 06.02.2012, 11:16

Hallo,

ich habe folgendes Problem.

Mir wird bei dieser Stelle:

PHP-Code:

  $sqlstr = "SELECT * FROM 'bestellung' WHERE 'auth' = ".$_GET['auth'];

folgender Fehler angezeigt:

Zitat:

Fehler in der SQL-Syntax. Bitte die korrekte Syntax im Handbuch nachschlagen bei ''konto' WHERE 'user' =' in Zeile 1

Ich werde daraus leider aber nicht schlau.
Was ist hier falsch?

wolf29 · 06.02.2012, 11:20

Hi

PHP-Code:

  $sqlstr = mysql_query("SELECT * FROM bestellung WHERE auth = '".mysql_real_escape_string($_GET['auth'])."'") or die("Fehler: ".mysql_error());

...und lies bitte nach, was SQL Injections bedeutet (http://se2.php.net/manual/de/securit...-injection.php). Du führst keinerlei Prüfung durch und öffnest Tür und Tor für jeder Mann!

mfg Wolf29

Nullraff · 06.02.2012, 11:59

Oder (noch besser) in Backticks:

PHP-Code:

  $sqlstr = mysql_query("SELECT * FROM `bestellung` WHERE `auth` = '".mysql_real_escape_string($_GET['auth'])."'") or die("Fehler: ".mysql_error());

DylanP · 06.02.2012, 15:15

Was machen backticks?

Nullraff · 06.02.2012, 15:32

Damit wird dem Parser mitgeteilt, dass es sich hier um einen Tabellennamen bzw. Spaltennamen handelt.

wolf29 · 06.02.2012, 15:46

@DylanP: http://php.net/manual/de/language.op....execution.php
@Nullraff: warum "besser"?? Damit man nicht evtl. mit Schlüsselwörtern kollidiert, oder was meinste?!

mfg Wolf29

Nullraff · 06.02.2012, 15:52

Zitat:

@Nullraff: warum "besser"?? Damit man nicht evtl. mit Schlüsselwörtern kollidiert, oder was meinste?!

Genau, wenn man Backticks verwendet ist man immer auf der sicheren Seite. Im PHPMYADMIN werden Backticks ebenfalls per Default verwendet.

wolf29 · 06.02.2012, 15:59

Ok, hatte mich schon gewundert, weil mir "kein anderer Vorteil" bekannt ist. @DylanP: am besten wendest Du Dich gleich dem Thema PDO zu.

mfg Wolf29

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[Erledigt] Fehler bei SQL abfrage mit PHP-variable	konfusius	PHP Einsteiger	8	12.10.2011 15:22
Items auslesen und in eine andere Tabelle einfügen	iKyroja:>	PHP Einsteiger	5	14.09.2011 09:57
[Erledigt] Fehler Parse error: syntax error, unexpected T_VARIABLE	Matze182	PHP Tipps 2010	10	31.05.2010 19:51
[Erledigt] Eintrag in SQL - Wo ist der Fehler? (Parse error: syntax error, unexpected	Karlo	PHP Tipps 2008	13	21.08.2008 22:35
syntax error - finde fehler nicht	imported_kremser	PHP Tipps 2008	9	11.07.2008 10:09
INSERT....Syntax Fehler	OrlandoPolic	Datenbanken	16	17.01.2008 23:19
Syntax Fehler		PHP Tipps 2006	9	04.08.2006 18:20
[Erledigt] Mysql Syntax Fehler		Datenbanken	3	06.07.2006 09:58
Syntax fehler	mokus	PHP Tipps 2006	8	21.06.2006 17:02
Fehler in SQL Syntax	CSS	PHP Tipps 2005	3	06.04.2005 16:53
sql syntax fehler		PHP Tipps 2004	2	23.10.2004 19:55
[Erledigt] sql - syntax fehler		Datenbanken	2	18.10.2004 21:36
[Erledigt] Wo ist der Fehler? (Syntax)		PHP Tipps 2004	24	05.07.2004 03:20
In DB schreiben => Syntax Fehler		Datenbanken	6	16.06.2004 22:12


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

06.02.2012, 11:20
wolf29 Erfahrener Benutzer Registriert seit: 17.03.2010 Beiträge: 1.833 PHP-Kenntnisse: Fortgeschritten	Hi PHP-Code: `$sqlstr = mysql_query("SELECT * FROM bestellung WHERE auth = '".mysql_real_escape_string($_GET['auth'])."'") or die("Fehler: ".mysql_error());` ...und lies bitte nach, was SQL Injections bedeutet (http://se2.php.net/manual/de/securit...-injection.php). Du führst keinerlei Prüfung durch und öffnest Tür und Tor für jeder Mann! mfg Wolf29 __________________ while (!asleep()) sheep++; Unterschätze nie jemanden der einen Schritt zurück geht! Er könnte Anlauf nehmen.

06.02.2012, 11:59
Nullraff Erfahrener Benutzer Registriert seit: 27.10.2010 Beiträge: 183 PHP-Kenntnisse: Fortgeschritten	Oder (noch besser) in Backticks: PHP-Code: $sqlstr = mysql_query("SELECT * FROM `bestellung` WHERE `auth` = '".mysql_real_escape_string($_GET['auth'])."'") or die("Fehler: ".mysql_error()); __________________ Kaum macht man's richtig, schon geht's

06.02.2012, 15:15
DylanP Neuer Benutzer Registriert seit: 31.10.2011 Beiträge: 14 PHP-Kenntnisse: Anfänger	Was machen backticks?

06.02.2012, 15:32
Nullraff Erfahrener Benutzer Registriert seit: 27.10.2010 Beiträge: 183 PHP-Kenntnisse: Fortgeschritten	Damit wird dem Parser mitgeteilt, dass es sich hier um einen Tabellennamen bzw. Spaltennamen handelt. __________________ Kaum macht man's richtig, schon geht's

06.02.2012, 15:46
wolf29 Erfahrener Benutzer Registriert seit: 17.03.2010 Beiträge: 1.833 PHP-Kenntnisse: Fortgeschritten	@DylanP: http://php.net/manual/de/language.op....execution.php @Nullraff: warum "besser"?? Damit man nicht evtl. mit Schlüsselwörtern kollidiert, oder was meinste?! mfg Wolf29 __________________ while (!asleep()) sheep++; Unterschätze nie jemanden der einen Schritt zurück geht! Er könnte Anlauf nehmen.

06.02.2012, 15:59
wolf29 Erfahrener Benutzer Registriert seit: 17.03.2010 Beiträge: 1.833 PHP-Kenntnisse: Fortgeschritten	Ok, hatte mich schon gewundert, weil mir "kein anderer Vorteil" bekannt ist. @DylanP: am besten wendest Du Dich gleich dem Thema PDO zu. mfg Wolf29 __________________ while (!asleep()) sheep++; Unterschätze nie jemanden der einen Schritt zurück geht! Er könnte Anlauf nehmen.