MySQL/PHP4/PHP5 Fehler!?

[moritz115]

Hallo,

mir wird durch ein Mysql error() ein Fehler angezeigt:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'WHERE ID = '28'' at line 1

Durch diesen Code:

$eintrag = "INSERT INTO wwp_page (a_hinweis) VALUES ('".$_POST['a_hinweis']."') WHERE ID = '".$_GET['seite']."'";
$eintragen = mysql_query($eintrag)or die(mysql_error());

Kann es sein, das dies ein PHP4 COde ist? Oder wodurch kommt diese Fehleranzeige?

mfg
moritz115

 

[Sven Mintel]

Moin,

bei INSERTs gibt es kein WHERE.

Wenn du bestehende Datensätze ändern willst, benutze UPDATE

 

[CookieBuster]

Zahlen dürfen nicht in Anführungszeichen stehen, da sie sonst nicht korrekt verglichen werden. Also einfach die SingeQuotes um die Id entfernen. Außerdem solltest du nicht direkt aus $_GET die Prüfung starten, da hier sehr leicht Schadcode eingespeist werden kann!
Stichwort MySQL Injection.

Da es sich hier um eine Zahl zu handeln scheint wäre ein Typecasting eine ausreichende Sicherung

$Page = (int)$_GET['seite'];

Kann natürlich auch direkt im Query gemacht werden, auf die selbe Weise.


e:/ Danke Sven, hab ich doch glatt übersehen, dass da INSERT mit WHERE benutzt wird

 

[moritz115]

Hallo,

danke für deine Hilfe. Jetzt kommt folgender Fehler:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '(a_hinweis) VALUES ('') WHERE ID = '29'' at line 1

Bei folgendem Code:

$eintrag = "Update wwp_page (a_hinweis) VALUES ('".$_POST['a_hinweis']."') WHERE ID = '".$_GET['seite']."'";
$eintragen = mysql_query($eintrag)or die(mysql_error());

Was nun?
moritz115

 

[saftmeister]

Ein Update-Query sieht so aus:

UPDATE tabellenname SET spalte1='wert1',spalte2='wert2'.... WHERE id = 5;

 

[moritz115]

Hallo,

könnt ihr bitte meinen COde ganz verbessern?

Bis jetzt bin ich so weit:

$eintrag = "Update wwp_page SET (a_hinweis) VALUES ('".$_POST['a_hinweis']."') WHERE ID = '".(int)$_GET['seite']."'";
$eintragen = mysql_query($eintrag)or die(mysql_error());

Fehler:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '(a_hinweis) VALUES ('') WHERE ID = '29'' at line 1

Klappt aber auch nicht

 

[saftmeister]

Versuch es mal so:

$eintrag = "Update wwp_page SET a_hinweis = '" . $_POST['a_hinweis'] . "' WHERE ID = '" . $_GET['seite'] . "'";

 

[CookieBuster]

Würden wir den Code verbessern, hättest du erst nichts gelernt und würdest es das nächste mal wieder nicht können.

Ich hab dich auf MySQL injection hingewiesen, dazu findet man mehr als Massenhaft in Google, einfach suchen.

$Inhalt1 = (int)$_GET['seite'];

Und dann einfach $Inhalt1 benutzen anstatt der Get-Variablen.

Außerdem solltest du auch deinen Post-Wert nicht direkt der Datenbank übergeben, mysql_real_escape_string() solltest du auf jeden Fall darauf anwenden!


Was allgemein an deinem Query falsch ist, hat Saftmeister bereits erwähnt.

 

[moritz115]

Hallo,

meinen Code werde ich dann auf die Sicherheit später noch einmal bearbeiten! Als Saftmeister den richtigen Code gepostet hat, habe ich es auch gerade geschafft^^ (Fortschritt )
Aber leider funktionier es trotzdem nicht. Der Hinweis wird nicht eingetragen Vielleicht wird er aus dem Formular nicht richtige übergeben?
Hier der "Übergeben-Code":

  echo '<form action="' . $PHP_SELF . '" method="post">' .
'<a href="an_admin.php?seite='.$ausgabe['ID'].'" onclick="submit();"> Page an Admin zur Prüfung weiterleiten.</a>' .' <input type="text" name="a_hinweis"/>';
'</form>';

Und der, mit dem eingetragen werden soll:

$eintrag = "Update wwp_page SET a_hinweis = '" . $_POST['a_hinweis'] . "' WHERE ID = '" . $_GET['seite'] . "'";
$eintragen = mysql_query($eintrag)or die(mysql_error());

Wo liegt der Fehler? Vielen Dank für eure Hilfe!
moritz115

 

[CookieBuster]

Schreib mal

echo "<pre>";
print_r($_POST);
echo "</pre>";

an den Beginn deiner Datei und prüfe ob in Post überhaupt etwas drin steht.


Vor dein "</form>"; gehört noch ein echo, sollte aber eigentlich einen ParseError oder Notice werfen..