Kann man INSERT INTO in tabelle, deren name eine variable ist ...?

[Ina]

Hallo aller seits,
Kann man INSERT INTO in tabelle, deren name eine variable ist ausführen?
Ich bekomme meine variablen (geprüft - die sind da und richtig) und folgt code:

PHP-Code:

$changes = "INSERT INTO '".$_GET['tab']."' ('name_e','adresse','tel_fax') VALUES ('".$_GET['name_e']."','".$_GET['adresse']."','".$_GET['tel']."')";
$anzeige = mysql_query($changes, $conn);
    if (!$anzeige){
                die ("Änderung fehlgeschlagen: ".mysql_error());
                     } 


Seit gestern bekomme ich immer wieder folgende fehlermeldung:

Zitat:

tab service
name_e Herr Bla, bla@web.de
adresse Strasse 13, 21342 Berlin
tel 12342516 / 23245647
contact OK
content best_cont

Änderung fehlgeschlagen: You have an error in your SQL syntax near ''service' (name_e,adresse,tel_fax) VALUES ('Herr Bla, bla@web.de','Strasse 13, 2' at line 1

Noch dazu, wenn ich kürzere werte eingebe, kommen die vollständig in dem fehlermeldung (in dem fall hat er sich was gespart?).
Kann jemand mir helfen?
ina

[chris17]

Hi,

Du hast ein paar ' zuviel, die Feldnamen un Tabellen werden ohne ' angesprochen.

PHP-Code:

$changes = "INSERT INTO ".$_GET['tab']." (name_e,adresse,tel_fax) VALUES ('".$_GET['name_e']."','".$_GET['adresse']."','".$_GET['tel']."')"; 


Gruss

[feuervogel]

PHP-Code:

$changes = "INSERT INTO '".$_GET['tab']."' ('name_e','adresse','tel_fax') VALUES ('".$_GET['name_e']."','".$_GET['adresse']."','".$_GET['tel']."')"; 


ich kapier irgendwie nicht so ganz, was du für nen stress mit den anführungszeichen und den konnektoren machst...

hier mal so wie ich es schreiben würde, allerdings testen musst du selbst:)

PHP-Code:

$sql = "INSERT INTO `{$_GET['tab']}` (`name_e` , `adresse` , `tel_fax`) VALUES ( '{$_GET['name_e']}' , '{$_GET['adresse']}' , '{$_GET['tel']}' )";
$qry = mysql_query( $sql , $conn ) || die( "sql-syntax falsch oder verbindung nicht vorhanden" . mysql_error() ); 


ich habe die spalten- und tabellennamen mal ich ` gesetzt (so genannte backticks), nicht in einfache anführungszeichen, und den connector-krempel weggelassen...schreib nen array, der zwischen doppelten " interpoliert werden soll einfach in { und }.

[feuervogel]

und noch ein kleiner tipp...du übergibst die variablen per url, wie ich sehe...also du rufst sie im script jedenfalls per $_GET auf. was passiert denn, wenn dummer.user einfach in der adresszeile rumspielt??? bei nem delete im sql GAAAANZ böse folgen!!!

badbadbad!

[Ina]

vielen DANK Chris und feuervogel!

Es ging mit:

PHP-Code:

"INSERT INTO {$_GET['tab']} (name_e,adresse,tel_fax)
 VALUES ('{$_GET['name_e']}','{$_GET['adresse']}','{$_GET['tel']}')"; 


ina

[chris17]

Hallo Ina,

feuervogel hat Recht, steig auf POST um. Ist nicht viel Arbeit und um einiges sicherer.

Grüsse

P.S.: Ich erinnere mich gerade, dass wir das in einem anderen Thread schon mal hatten wg. GET und POST ;-)

[Ina]

Hi Chris,
Ich habe schon "POST".
Jertzt habe ich wieder eine fehlermeldung mit dem ich nicht zurecht komme:

Zitat:

id 1
raum Berlin
vorwahl 0101DEVET
neu_tel OK

Änderung fehlgeschlagen: You have an error in your SQL syntax near '[raum='Berlin',vorwahl='0101DEVET'] WHERE [id='1']' at line 1

Mein code ist:

PHP-Code:

$endern = "UPDATE telefon SET [raum='{$_POST['raum']}',vorwahl='{$_POST['vorwahl']}'] WHERE [id='{$_POST['id']}']"; 


Siehest du irgendwo fehler???
ina

[meikel (†)]

Zitat:

Original geschrieben von Ina
Mein code ist:

PHP-Code:

$endern = "UPDATE telefon SET [raum='{$_POST['raum']}',vorwahl='{$_POST['vorwahl']}'] WHERE [id='{$_POST['id']}']"; 


Siehest du irgendwo fehler?

Ja, einige.

PHP-Code:

$endern = "UPDATE telefon SET raum='$_POST[raum]',vorwahl='$_POST[vorwahl]' WHERE id='$_POST[id]'"; 


btw: Wer so unbekümmert Uservariable in SQL Strings verwurstet, sollte sich rechtzeitig um ein funktionierendes Backup seiner Datenbank Gedanken machen.

[chris17]

Das mit dem POST war eine gut Entscheidung :-)

Aber sag' mal, warum baust Du immer wieder eckige Klammern [] in Dein Querys ein? ;-)))))