variable in mysql query

<?php

$query = "SELECT * FROM vriendenboek WHERE naam = '".$naam. "'";

?>

Backticks niet gebruiken om namen van kolommen
Een string heeft in MySQL altijd enkele quotes eromheen
En variabelen buiten quotes halen

bedankt voor de snelle aantwoord, dit werkt :):)

$naam = $_POST['$naam'];
is volkomen zinloos! Waarom een kopie maken? Wat is er mis met het origineel?

Oh, er is van alles mis met het origineel, die is namelijk volkomen onbetrouwbaar! Maar ook dan maak je geen kopie aan, zit je met 2 onbetrouwbare honden.

Maak een variabele aan die je wel kunt vertrouwen:
<?
$naam = mysql_real_escape_string($_POST['$naam']);
?>
Nu kun je $naam veilig gebruiken in een query. COOKIE, GET, POST, etc. mag je nooit in een query gebruiken, ook niet met een zinloze kopie.

Of SQL-injection is een functionaliteit van jouw systeem...

@frank de bedoeling is dat $naam uit een ander formulier opgehaald word:

het wordt misschien lachen , maar ik ben pas sinds een week bezig met php hoor:

<?

$host="localhost";
$username="*****";
$password="****";
$db="****";

$connectie = mysql_connect($host,$username,$password)
or die ("Kon niet connecteren met de server");

mysql_select_db($db,$connectie)
or die ("Kon de database niet selecteren");


$query = "SELECT * FROM `vriendenboek` ";
//query is aangemaakt
$sql = mysql_query($query) or die ( mysql_error( ) );
//query is uitgevoerd

echo "<table border=1 width=20% style=bijdrage.css>";
echo
"<tr><td><b>Naam</b></td>
</tr>";

while($record = mysql_fetch_object($sql)){


echo"<tr><td>";
?>
<form id="form1" name="form1" method="post" action="toon.php">

<? $naam="$record->naam";
echo"$naam";
?>

<input type="checkbox" name="<? $naam="$record->naam";
echo"$naam"; ?>" value="<? $naam="$record->naam";
echo"$naam"; ?>" />
<input type="submit" name="<? $naam="$record->naam";
echo"$naam"; ?>" value="Verzenden" />
</form>
<?


echo"</td></tr>";

}
echo"</table>";


?>

het is wel zo dat als ik naar de broncode kijk , naam en value van de checkbox ook dezelfde namen krijgen en dat is wat ik wou.
nu knutsel ik dus aan een manier om dus de $naam in de select-query
van de toon.php te krijgen.vandaar...

Wat Frank probeert te zeggen is dat het in ieder geval belangrijk is en tevens een goede programmeergewoonte om alle veriabelen welke via POST, GET etc worden doorgegeven nooit zonder meer te vertrouwen.

Dus om deze te strippen van karakters waarmee je query in de soep loopt of zelfs je database leegt of verpest ( SQL-injection ).

Het zou goed zijn om vanaf het begin af aan, ondanks het feit dat je nog maar net begonnen bent, hier kennis van te nemen en rekening mee te houden.

Zet in ieder geval nooit een functionaliteit, formulier of wat dan ook online zonder eerst uitvoerig te testen of je wel goed beveiligd bent!

Succes verder!

is goed ;)

Een week aan het werk dan al netjes controleren of e.e.a. is gelukt? Niks mis mee!

2 opmerkingen:
- $sql is geen SQL, maar een result-set. $result ligt dus voor de hand en geeft veel meer duidelijkheid over de inhoud van deze variabele.
- mysql_fetch_object() is zo snel als dikke stront door een trechter. De functie mysql_fetch_assoc() is vele malen sneller en net zo eenvoudig in het gebruik. Het maakt een array aan die je alsvolgt gebruikt: $record['naam']. Dat is net iets anders dan $record->naam, maar echt niks moeilijker.

Let op: <? $naam="$record->naam";
echo"$naam"; ?> is wederom een slechte constructie, het levert je helemaal niets op. Gebruik gewoon $record->naam of nog beter $record['naam'] wanneer je mysql_fetch_assoc() gebruikt om te fetchen.

Veel plezier!

Ps. Net een weekje aan het php-en en dan nu al met een database bezig? Kijk dan ook eens naar PostgreSQL. Ook een database, maar vele malen beter en net zo gratis!