hi zusammen
Ich habe die eine seite1.php wo man per link ein produkt auswählen kann.Wenn man diesen Link betätigt soll die Variable $tabelle=bands zu der nächsten seite übermittelt werden.Das bedeutet das auf Seite2.php die Variable $tabelle den Wert bands hat.Denn der Wert bands wäre der Tabellenname.

$query="SELECT * FROM $tabelle WHERE.....
Ich möchte den Tabellenaufruf nämlich Variablen abhängig machen.

mfg jochen

link auf seite 1:



<a href="seite2.php?tabelle=bands">balbla</a>


Seite2



<?php
[....]
$query = "SELECT bla bla FROM ".mysql_escape_string($_GET["tabelle"])." WHERE balbla";
[....]
?>


Ansonsten wäre es cool, wenn du das nächste mal ne Frage formulierst ;) Sonst kann mann evtl net drauf kommen was du meinst

!NEIN!

so solltest du das AUF KEINEN FALL machen.

Du musst auf unbedingt den Parameter pruefen, bevor du ihn irgendwie verwendest. Besonders bei SQL ist das heikel!

mfg

c.

hi
wie soll ich prüfen und wonach
mfg john

Ob der Wert gültig ist.

(Also zum Beispiel ob die Tabelle auch existiert bevor du sie abfragst)
Ich hatte angenommen das würdest du schon tun. Das mysql_escape_string() verhindert aber schlimmeres

Prinzipell koennten Tabellen und Daten geloescht/veraendert werden.

Aber es kann auch einfach nur sein, dass eine Tabelle abgefragt wird, mit der du nicht rechnest und dann ploetzlich irgendwelche geheimen Daten (zB Passwoerter) ausgegeben werden.

erstell dir einfach Muster, auf das die Anfrage zutreffen muss um ausgefuehrt zu werden. zB:

/tabelle?/ oder /(tabelle1|tabelle2)/ etc...

mfg

c.