Verschillende tabel naam

Door Kevin De Ras op 02-11-2012 23:10 gewijzigd op 02-11-2012 23:27

1.571 views

Dag besten,

Ik heb een klein probleempje in verband met een table die verschild naargelang een variable.

Dit is de code :
<?php
$speler=$_POST['inlog'];
$inlog=$_POST['inlog'];
$datum= date("d-m-Y");
$tijd=date("H:i:s");
$ip=$_SERVER['REMOTE_ADDR'];
$nr=$_POST['begrippen']
$table='begrippen'.$nr;

include(*****);

mysql_query("INSERT INTO '$table' (speler, datum, btijd, ip, status) VALUES
('$speler', '$datum', '$tijd', '$ip', 'Onafgewerkt')");

$result = mysql_query("SELECT id FROM '$table' WHERE speler ='$speler' && btijd ='$tijd'");
while ($row = mysql_fetch_assoc($result)) {
$id=$row['id'];
}

echo "&id=".$id."&";
echo "&script=klaar&";

?>

Telkens komt er deze error :
Parse error: syntax error, unexpected T_VARIABLE in public_html/begrippena1.php on line 8

Dus hetgene dat moet gebeuren is gewoon de table naam die aanpast naargelang de nummer.
begrippen varieerd van 1 tot 15 en dus is de tabelnaam (begrippen1,begrippen2,begrippen3, ... )

Alvast bedankt!

Ivo Breeden

02-11-2012 23:26 gewijzigd op 02-11-2012 23:27

punt-komma (;) vergeten op lijn 7.
Voor de rest moet je na iedere mysql*() aanroep testen op fouten, en de foutmelding afdrukken.

Onbekende gebruiker

02-11-2012 23:26

Je bent een puntkomma vergeten.

Kevin De Ras

02-11-2012 23:26 gewijzigd op 02-11-2012 23:26

bedankt voor het snelle antwoord dan komt er dit :
Warning: mysql_fetch_assoc() expects parameter 1 to be resource, boolean given in /public_html/begrippena1.php on line 16
&id=&&script=klaar&

php knipper

02-11-2012 23:28

foutafhandeling ??? ;)

http://www.phphulp.nl/php/tutorial/overig/sql-beginners-handleiding/576/
'$table' ==> '".$table."' net zoals bij de rest

hackbaar gebruik mysql_real_escape_string() en int() en ...

Ivo Breeden

02-11-2012 23:30

Dat betekent dat mysql_query een return waarde van "false" heeft gekregen. Daar moet je dus op testen en de bijbehorende fout afdrukken.

- SanThe -

02-11-2012 23:30

Onvoldoende controles.
Geen vars copiëren.
Vars buiten quotes halen.
Jouw datum is geen datum.
Geen varabele tabelnamen gebruiken.
Query is lek => SQL-Injection.
De while() is nutteloos.

http://www.phphulp.nl/php/tutorial/overig/normaliseren/150/

Willem vp

03-11-2012 00:04

Vars buiten quotes is nergens voor nodig. Variabele tabelnamen is ook geen probleem.
Wat wel fout is, is de tabelnaam tussen quotes zetten.

Dus niet: SELECT id FROM '$table'

maar: SELECT id FROM $table

[size=xsmall]Toevoeging op 03/11/2012 00:06:06:[/size]

De mysql_query op regel 12 doet het om dezelfde reden trouwens ook niet...

Eddy E

03-11-2012 12:13

Willem: voor het escapen wel.
Je wilt variabelen gewoon buiten quotes. Ook al werkt het als "$iets" wel.

Willem vp

03-11-2012 22:52

Voor escapen in SQL gebruik je backquotes en geen gewone. Sowieso is het gebruiken van backquotes een teken dat de naamgeving van je database-objecten niet goed is.

Variabelen buiten je strings halen maakt in veel gevallen je code volkomen onleesbaar en dus gevoeliger voor fouten. Bovendien degradeer je PHP ermee tot een of ander raar soort VBScript. Maar goed, dat is eigenlijk off-topic in dit draadje.

Reageren

Inloggen om te reageren