Variable in Suche einfügen

  • Hallo,
    ich habe ein kleines Projekt als Anfaänger begonnen und schon am Anfang kommt das erste größere Problem was ich nicht gelößt bekomme. Ich habe mir eine Datei erstellt die mir aus einer Datenbank Bestimmte Namen Anzeigen soll. (Siehe Code)

    Jetzt würde es gerne so haben, dass ich mit _get den Namen per URL einfügen kann, den er suchen soll. Ich hatte es mir so vorgestellt

    PHP
    $sqlab .= " where Vorname like '"$_GET['Vorname']"'";

    Leider funktioniert dass nicht. Was mache ich falsch?


  • Du hast die Punkte vergessen:

    Code
    $sqlab .= " where Vorname like '"[COLOR='#B22222'].[/COLOR]$_GET['Vorname'][COLOR='#B22222'].[/COLOR]"'";

    Und ergänze evtl. noch mysql_escape_string() um.

  • Und somit sind wieder mal Tür und Tor für böse Hacker aufgemacht! Vertraue niemals Variablen, die von außen kommen, also mysql_real_escape_string einsetzen!

  • Habe erneut ein Problem. Ich möchte gerne das Ergebniss nochmal Filtern. Und zwar durch

    PHP
    $sqlab .= " where Gesamtwertung = 0";

    . Ohne diesen zusatz funktioniert die Seite einwandfrei. Jewdoch wenn ich es hinzufüge wird mir kein Ergebniss mehr angezeigt. Was mache ich falsch?