[MaDDiN]

Ahoi!

Ich habe mir eine Datenbank gebastelt, in der ich mehrer Werte speicher (logisch, dazu ist eine DB ja da ). Nur leider reichen meine bisherigen MySQL-Kenntnisse nicht für folgendes Problem aus...

Nun ist die DB so aufgebaut:

CSID | Alte Adresse | Neue Adresse | Bemerkungen |
--------------------------------------------------------------
5213 | Musterstr. | Bahnhofstr. | blup |
--------------------------------------------------------------
5214 | ... | ... | ... |
--------------------------------------------------------------
5215 | ... | ... | ... |
--------------------------------------------------------------

Ich möchte nun nur die Daten auslesen, die in der Zeile 5213 stehen. Also nur die 5213, "Musterstr.", "Bahnhofstr." und "blup". Nicht die ganze Tabelle.

Wie bewerkstellige ich das? Und lässt sich das ganze so drehen, dass ich per $_GET z.B. nur die Zeile "5215" auslesen kann (also so in etwa: http://127.0.0.1/tes....php?CSID=5215)?

Ich hoffe, man versteht was ich meine! Ansonsten, trettet mich einfach

Martin

[Odom]

also die MYSQL Abfrage wäre dafür


Select * FROM tabellen name where csid = csid von deinem get


mehr isset eigentlich net..den code rings rum kansnte basteln wie du willst (muss nur funktionieren ;-))

[MaDDiN]

Pärfähkt!

Ich habe zu danken

[MaDDiN]

Meiner Einer nochmal!

Folgendes:

	$sql = 'Select * FROM csforms
				where
					CSNO = -hier soll der Wert aus $_GET stehen- ';

Wie krieg ich es hin, dass ich den Wert aus $_GET da rein bekomme?

Es soll also hinterher so aussehen:

Aus dem Link - http://www.127.0.0.1...x.php?csid=5001 - soll die 5001 ausgelsen werden, und in die $sql-Variable eingefügt werden:

	$sql = 'Select * FROM csforms
				where
					CSNO = 5001 ';

CSNO wird per $_GET eingelesen, und in der Variable $cs gespeichert...

Jemand ne' Idee? Ich kriegs einfach nicht gebacken

[flo]

$sql = ("Select * FROM csforms WHERE CSNO ='" . $_GET['csid'] . "';");

Dieser Beitrag wurde von Flo bearbeitet: 05. Juli 2006 - 20:24

[MaDDiN]

Merci!

[Floele]

Also so würde ich es nicht machen. Ein addslashes() gehört mindestens zu $_GET[...] dazu (es sei denn Sicherheit spielt keine Rolle).

[MaDDiN]

 Zitat (Floele: 05.07.2006, 20:53)

Also so würde ich es nicht machen. Ein addslashes() gehört mindestens zu $_GET[...] dazu (es sei denn Sicherheit spielt keine Rolle).

Wie realisiere ich denn das?

Hab wirklich nur die Grundlagen von PHP+MySQL drauf...

[flo]

 Zitat (Floele: 05.07.2006, 20:53)

Also so würde ich es nicht machen. Ein addslashes() gehört mindestens zu $_GET[...] dazu (es sei denn Sicherheit spielt keine Rolle).

Was hat denn addslashes() mit Sicherheit zu tun? Damit werden doch nur Sonderzeichen maskiert oder?

[Floele]

 Zitat (MaDDiN: 05.07.2006, 21:04)

Hab wirklich nur die Grundlagen von PHP+MySQL drauf...

Ehm...Grundlagen nennst du das? Ich will ja nicht unhöflich sein, aber das sieht mir eher nach einem nur halb durchgelesenem Tutorial aus

$sql = ("Select * FROM csforms WHERE CSNO '" . addslahes($_GET['csid']) . "';");

mysql_real_escape_string() wäre aber besser.

 Zitat (Flo: 05.07.2006, 21:09)

Was hat denn addslashes() mit Sicherheit zu tun? Damit werden doch nur Sonderzeichen maskiert oder?

Eben drum. Wenn deine Variable jetzt zum Beispiel einfach nur ' ist, bringt das die SQL Abfrage durcheinander. Wenn man dann ein bisschen kreativ ist kann man da noch viel mehr draus machen. Stichwort SQL Injections.

Dieser Beitrag wurde von Floele bearbeitet: 05. Juli 2006 - 20:14

[flo]

Zitat

ben drum. Wenn deine Variable jetzt zum Beispiel einfach nur ' ist, bringt das die SQL Abfrage durcheinander. Wenn man dann ein bisschen kreativ ist kann man da noch viel mehr draus machen. Stichwort SQL Injections.

Achso, danke.

[Floele]

Dann vielleicht besser noch das hier als Ergänzung:
http://phpsec.org/projects/guide/

[flo]

Also müsste es am besten so aussehen:

$sql =  ("Select * FROM csforms WHERE CSNO ='" .  mysql_real_escape_string($_GET['csid']) . "';");

Dieser Beitrag wurde von Flo bearbeitet: 05. Juli 2006 - 20:33

[Kr1x]

magic_quotes_gpc is meistens an, ansonsten in php.ini auf 1 setzen und auf zusätzliche addslash-sachen verzichten

[flo]

 Zitat (Kr1x: 05.07.2006, 21:39)

magic_quotes_gpc is meistens an, ansonsten in php.ini auf 1 setzen und auf zusätzliche addslash-sachen verzichten

Dann wird Quasi durch magic_quotes_gpc immer alles maskiert ?