Mysql Syntax

xivo · 31. Januar 2012

Guten Tag Leute, habe gerade Probleme mit meinem Mysql Syntax vielleicht könnt ihr mir ja helfen.

Der Log sagt :

Code

You have an error in your SQL syntax; check the manual that corresponds  to your MySQL server version for the right syntax to use near '' at line  1

Und mein Code sagt :

PHP

$get_cats = mysql_query("SELECT * FROM `categories` WHERE `displayorder` = ".$_GET['catid']) or die(mysql_error());

lyinch · 31. Januar 2012

Iop deine Abfrage ist falsch^^

PHP

$get_cats = mysql_query("SELECT * FROM `categories` WHERE `displayorder` = '".$_GET['catid']."'") or die(mysql_error());

So müsste es klappen

noir · 31. Januar 2012

oh gott, variablen die in ein query kommen IMMER escapen! Vorallem dann wenn die wie hier direkt vom user eingegeben werden können. http://php.net/manual/de/funct…ql-real-escape-string.php

d30af26d · 31. Januar 2012

Und der Grund, warum man immer escapen muss ist SQL-Injection . Nur zur Info.

Xraid · 7. Februar 2012

Ich würde bei IDs immer if(!isset(var) !is_numeric(var)) exit; empfehlen, da es schneller ist.

breadfish.de 11. März 2022