Apostroph ' mit Variable in eine SQL Query

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Apostroph ' mit Variable in eine SQL Query

    Hallo, in eine SQL Abfrage suche alle Daten die vor einem bestimmten Datum eingetragen sind,

    PHP-Code:

    $d1
    $_GET["d1"]; // $d1 ist ein Datum 2010-01-26

    $sql="select * from Data where timstamp > $d1";
    mysql_query ($sql,$con) or die(mysql_error()); 
    leider bekomme ich Falsch ergebnisse, weil der Variable $d1 ohne ' hochkomma ' in der Query gelesen wird.
    hat jemand einen Tip wie ich das trotzdem hinbekommen könnte?
    Danke

    Sami

  • #2
    Hallo,

    erstens: bau die Single-Quotes einfach mit in den String ein.
    zweitens: benutze nie ungeprüfte oder unmaskierte Formulardaten. Stichworte: SQL Injection, mysql_real_escape_string

    Gruß,

    Amica
    [COLOR="DarkSlateGray"]Hast du die [COLOR="DarkSlateGray"]Grundlagen zur Fehlersuche[/color] gelesen? Hast du Code-Tags benutzt?
    Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
    Super, danke!
    [/COLOR]

    Kommentar


    • #3
      Vielen Dank,

      hat leider nicht geklppt, der Datum kommt von einem HTML Formular

      HTML-Code:
      <input name="d1" type="text" id="'d1'" maxlength="10" width="20" /></td>
      Der String
      PHP-Code:
       "select * from ... where timestamp > $'d1'" 
      funktioniert leider nicht! oder mache ich da etwas falsches ?

      Kommentar


      • #4
        PHP-Code:
        $sql "SELECT spalte FROM tabelle WHERE spalte = '" mysql_real_escape_string($_POST['wert']) . "'"

        Kommentar


        • #5
          Informier dich bitte über Zeichenkettenverknüpfung in PHP.
          [COLOR="DarkSlateGray"]Hast du die [COLOR="DarkSlateGray"]Grundlagen zur Fehlersuche[/color] gelesen? Hast du Code-Tags benutzt?
          Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
          Super, danke!
          [/COLOR]

          Kommentar


          • #6
            $'d1'
            Das hat nichts mit zeichenkettenverknüpfung zu tun, sondern widerspricht einfach jeder logik!

            Kommentar

            Lädt...
            X