Hello,

na hoppla, ein neuer Pflegefall ;-)

Eine Script soll untersuchen ob die gerade erhaltene $_GET Anweisung überhaupt in der Datenbank steht. Klingt simpel ist für mich aber im Moment echt nicht zu bewältigen.

Du rufst also ein PHP-Script auf, und überträgst diesem Script per URi einen Parameter mit dem Namen "date". Beachte bereits jetzt, dass Andere als Wert für diesen Parameter reinschreiben könnten, was sie wollen, also auch gemeine Sachen.

Da Du den übertragenen Wert direkt als Bestandteil einer SQL-Abrage einsetzt, könnte eine SQL Injection stattfinden (such mal im Archiv nach dem Begriff!).

Du solltest den übertragenen Parameter "date" also vorher auf Plausibilität prüfen und außerdem maskieren (such mal im Archiv nach 'SQL maskieren') und lese Dir
http://de2.php.net/manual/en/function.mysql-real-escape-string.php
und
http://de2.php.net/manual/en/function.get-magic-quotes-gpc.php
nebst weiterführender Links durch.

<?php
     error_reporting(E_ALL);  ## Damit Dir Deine Versäumnisse auch gemeldet werden

include("dbconnect.php");

if(isset($_GET["date"]))   ## Wurde ein Parameter mitn Namen date per GET übertragen?
   {
     ...

$check = mysql_query("SELECT id FROM gallery WHERE title LIKE "$_GET["date"]"");

--------------
   # siehe mysql_real_escape_string()

if (mysql_errno($con) == 0)       ## War das Query erfolgreich?
   {
     ...
   }
   else
   {
     echo "MySQL-Fehler: ".mysql_error($con);
   }

include("dbdisconnect.php");

echo $check

# $check ist nun ein Handle einer Result-Ressource, wenn es nicht false ist.
   # Wenn man wissen will, was im Ergebnis drinsteht, muss man das erst Zeile für Zeile
   # aus dem Resultset herausholen

while($_rec = mysql_fetch_assoc($check))
   {
     echo "<p>{$_rec['id']}</p>\n";
   }

?>

So ungefähr als Fahrplan...

Harzliche Grüße vom Berg
http://www.annerschbarrich.de

Tom

--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau