Hallo, Vinzen!

Vielen Dank! Bei mysql_real_escape_string() hab ich gesehen, wie ich den Code richtig übergebe. Jetzt funktioniert's!

Dafür hab ich eine andere Frage: Was hat es mit diesem mysql_real_escape_string() auf sich und mit SQL Injection Angriffen? In den - zugegeben dünneren - Büchern, die ich über PHP und MySQL hab, steht davon nichts drinnen. Und aus dem Text auf php.net werd ich nicht so ganz schlau. Ich vermute allerdings, daß es irgendwas mit der Sicherheit zu tun hat. Hast Du zufällig einen Link zu einer guten Website, wo das ausführlicher und auch für einen Anfänger verständlich erklärt ist? Ich würde das gern benutzen, aber wie gesagt werd ich aus den Erklärungen auf php.net nicht ganz schlau ..

Vielen Dank!

Alex

Hallo Alex,

Die Übergabe des Codes erfolgt jetzt auch. Aber ich krieg folgende Fehlermeldung:

Unknown column 'c20d62ad476db143d5' in 'where clause'

Nunja, diese Spalte gibt es in Deiner Tabelle nicht.
Zeichenketten sind in SQL in Anführungszeichen einzuschließen.

Zahlen können bei MySQL ohne Anführungszeichen verwendet werden, andere Datenbankmanagementsysteme verlangen sogar, dass keine Anführungszeichen verwendet werden. Spaltennamen dürfen nicht mit Ziffern beginnen.

Noch ein Hinweis:
Verwende mysql_real_escape_string() um Deinen Get-Parameter zu entschärfen. Dabei musst Du die Einstellung der Magic Quotes berücksichtigen, so wie es im verlinkten Handbuchabschnitt beschrieben ist.

Freundliche Grüße

Vinzenz