SQL syntax error!

Door Wouter op 10-10-2009 13:45

1.164 views

Ik heb dus dit:


<?
$sql = "SELECT * users WHERE username='" . $_POST['username'] . "' AND password='" . $_POST['password'] . "'";
$query = mysql_query($sql) or die("Error at logging in: " . mysql_error());
?>

Maar ik krijg de volgende error:

Error at logging in: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'users WHERE username='Admin' AND password='Admin'' at line 1

SQL = SELECT * users WHERE username='Admin' AND password='Admin'

Alvast bedankt!

- SanThe -

10-10-2009 13:48

Waar staat het woordje FROM?

Edit: Script is lek => SQL-Injection.

Wouter

10-10-2009 13:51

Oeps, bedankt! :D

Ik maak altijd eerst de basis en dan maak ik de beveiliging.

- SanThe -

10-10-2009 13:56

Wouter schreef op 10.10.2009 13:51
Ik maak altijd eerst de basis en dan maak ik de beveiliging.

Niet slim. Veiligheid altijd eerst.

Wouter

10-10-2009 14:01

Ik voeg er meestal even [php]mysql_real_escape_string[/php] bij.

- SanThe -

10-10-2009 14:05

Wouter schreef op 10.10.2009 14:01
Ik voeg er meestal even [php]mysql_real_escape_string[/php] bij.

Klopt, maar wel direct en niet 'later'.

Wouter

10-10-2009 14:17

Ik zal er op letten! ;-)

EDIT: Is addslashes() ook goed?

- SanThe -

10-10-2009 14:21

Nee.

Niels K

10-10-2009 15:05

open trouwens je php zo

<?php

?>

Terence Hersbach

10-10-2009 15:33

en wachtwoorden hoor je gecodeerd (md5 of sha1) op te slaan, niemand die mijn wachtwoord hoeft te weten..

Wouter

10-10-2009 19:10

@ Niels
Ik gebruik altijd <?php maar ik dacht dat je dat moest gebruiken op PHPhulp.nl

@ Terence

Zoals ik al zei, ik maak eerst de basis. Alles is nu beveiligd.

Reageren

Inloggen om te reageren