[SQL] WHERE $var LIKE $var

[caschti84]

huhu!

Habe wohl ein kleines Quote prob. Und zwar möchte ich gerne in dieser MYSQL Anweisung:

$res=mysql_query("SELECT * FROM report WHERE $funztnicht LIKE '%".$suche."%'");

Hab irgendwie schon alle Möglichkeiten durch, bin mir aber auch unsicher, ob ich da eine Variable nutzen kann nach dem WHERE.

Würde mich über einen Tipp freuen.
mfg
Caschti

 

[theHacker]

Hab irgendwie schon alle Möglichkeiten durch, bin mir aber auch unsicher, ob ich da eine Variable nutzen kann nach dem WHERE.

Funktionieren tut es, wie du sicherlich bemerkt hast, da die Variable in MySQL nicht ankommt.

Allerdings würde ich da sehr aufpassen. Stichwort: SQL-Injections

 

[TriloByte]

Abgesehen von deinem Problem solltest du dir SingleQuotes + Stringkonkatenation an- und Select * abgewöhnen (Performance, sauberer Code)

Wenn der Tabellenname per Request reinkommt natürlich entsprechend absichern/maskieren (mysql_real_escape_string())

Wenn du Fehlermeldungen vermisst, die kannst du mit mysql_error() ausgeben

 

[caschti84]

das ist nur für eine interne sache . Hat also kein User oder drauf zugriff. Wie muss ich dass denn nun quoten? Die Variable kommt aus einem Formular.

 

[Scar]

quoten könntest du noch $funztnicht .. `$funztnicht`, musst du aber nicht..

ansonten wie schon geschrieben www.php.net/mysql_real_escape_string nutzen.