Fabian St.: SELECT

Beitrag lesen

Hi!

Dann rufe ich folgendes query auf:

<?
$q="
SELECT * FROM art
WHERE show='1'
AND bez1\_fr LIKE '%$_GET[searchkey]%'
OR bez1\_en LIKE '%$_GET[searchkey]%'
OR bez1\_de LIKE '%$_GET[searchkey]%'
OR art\_nr LIKE '%$_GET[searchkey]%'
";
?>

Neben den bereits erwähnten Punkten solltest du es tunlichst _vermeiden_, einen Parameter ungeprüft in dein Skript zu übernehmen, weil du dich dadurch für SQL-Injections anfällig machst. Aus diesem Grund solltest du $_GET['searchkey'] mit mysql_real_escape_string behandeln. Ferner muss der Key «searchkey» in Anführungszeichen stehen, wenn es sich bei searchkey um keine Konstante handelt, was ich bei diesem Beispiel jetzt mal annehme.

Grüße,
Fabian St.