Hallo,
kann mir jemand sagen wo mein Fehler ist ?
PHP
$sql = "SELECT * FROM '$DB['user']' WHERE Email = '$Email'";Habe es in verschiedene Möglichkeiten versucht 
Ich bekomme immer eine weiße Seite 
mfg Cydia.
[PHP] String richtig anzeigen
- Cydia
- Geschlossen
- Erledigt
-
PHP
$sql = "SELECT * FROM '$DB['user']' WHERE Email = '$Email'";
=>PHP$sql = "SELECT * FROM '".$DB['user']."' WHERE Email = '".$Email."'"; -
Denk an das Escapen!
PHP$sql = "SELECT * FROM '".$DB['user']."' WHERE Email = '".mysql_real_escape_string($Email)."'";Ich denke mal, dass Du das erste nicht escapen musst, sofern der Wert konstant ist und Du nichts mehr daran ändern lässt.
-
Hängt davon ab ob die Variablen Usereingaben sind und nicht eventuell bereits vorher escaped wurde. Ist dem so verschenkt man Performance, die bei PHP eh nicht gerade die beste ist.
-
Ja irgendwie auch logisch. Es kommt auf den User drauf an, wie er es macht. Ich mache es immer nur im Query. Das hat auch seinen Grund. Bevor er es gar nicht macht, lieber einmal erwähnt. Man weiß ja nicht was über dem Query alles steht.
-
Ich wiederhole mich aber gern nocheinmal in diesem Thread.... mysql_escape_real_string verschont nicht vor SQL Injection.
-
mysql_escape_real_string verschont nicht vor SQL Injection.
Wenn es sich dabei denn um eine SQL-Injection handeln würde...
-
-
Dazu sag' ich nur Backticks (`), nicht Singlequotes ('). Und ganz entfernen ist auch keine gute Idee, da (My)SQL reservierte Keywords und Sprachattribute hat, was zu Fehlern führen kann, wenn die Tabelle wie eben so ein Keyword heißt.
-
breadfish.de
Hat das Thema geschlossen.
