Problem mit php und mysql
Hallo Forum
ich hab ein Problem beim Update eines Datensatzes
Kann mir jemand sagen wo mein Fehler liegt
ich hab ein Problem beim Update eines Datensatzes
$sql = "UPDATE telefonbuch SET name = '$name', vorname = '$vorname', filiale = '$filiale', bereich = '$bereich', telefon = '$telefon', fax = '$fax', email = '$email', bild = '$bild' WHERE nutzerid = '$id'" ;
$update = mysql_query($sql);
Kann mir jemand sagen wo mein Fehler liegt
Please also mark the comments that contributed to the solution of the article
Content-Key: 296397
Url: https://administrator.de/contentid/296397
Printed on: April 19, 2024 at 19:04 o'clock
6 Comments
Latest comment
Biggest failure ever: Kein "escaping" der Variablen ...Say welcome to SQL-Injection
mysql_real_escape_string
Und das alte MySQL solltest du dringend auf modernere Vatanten wie mysqli oder PDO umstellen!
Gruß jodel32
mysql_real_escape_string
Und das alte MySQL solltest du dringend auf modernere Vatanten wie mysqli oder PDO umstellen!
Gruß jodel32
Funktioniert leider immer noch nicht, hier mal der komplette quellcode
Weil du die blanken Post-Daten immer noch nicht escapest...Les doch bitte mal den Link Und ob deine ID wirklich ein String und keine Nummer ist weis hier leider auch niemand. Was deine Variablen an Daten enthalten auch nicht, und und und. Geschlossen wird die Verbindung auch nicht, also Käse.
Dann brauchst du auch keine Hochkommas um die ID, kostet nur Performance.
Schalte das PHP-Errorreporting ein dann weist du was Sache ist und was bei dir falsch läuft.
Ich hoffe du hast das escaping inzwischen umgesetzt! Les einfach mal bei Google nach "SQL Injection"...
Schalte das PHP-Errorreporting ein dann weist du was Sache ist und was bei dir falsch läuft.
Ich hoffe du hast das escaping inzwischen umgesetzt! Les einfach mal bei Google nach "SQL Injection"...
Wie schon geschrieben, sowas darfst Du heute nicht mehr auf deinen Webserver loslassen.
.. weiterhin solltest du die Backticks ` nicht vergessen, oft sind Feldnamen mit MySQL Funktionen gleich
http://php.net/manual/de/class.pdo.php
$sth = $dbh->prepare('
UPDATE `telefonbuch` SET `name` = ?, `vorname` = ?, `filiale` = ?, `bereich` = ?, `telefon` = ?, `fax` = ?, `email` = ?, `bild` = ?
WHERE `nutzerid` = ?
');
$sth->execute( array($name, $vorname, $filiale, $bereich, $telefon, $fax, $email, $bild, $id) );
http://php.net/manual/de/class.pdo.php