MySQL sieht einen Fehler, den ich nicht sehe...

lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess

Autor dieses Themas

16:10, 8.2.2012

Die Fehlermeldung: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'WHERE id =1' at line 13

Mein Code:

<?php
error_reporting(0);
include 'data.php';
include 'config.php';
mysql_connect($HOST,$USER,$PW)or die(mysql_error());
mysql_select_db($DB)or die(mysql_error());
    $sql = "SELECT
           id,
           autor,
           title,
           news,
           date,
		   description,
		   keywords
        FROM
           wronnay_news
        ORDER BY
           date DESC
	    WHERE
           id ={$_GET['id']}";
    $result = mysql_query($sql) OR die("<pre>\n".$sql."</pre>\n".mysql_error());
    while ($row = mysql_fetch_assoc($result)) {
	$comments = mysql_num_rows(mysql_query("SELECT id FROM wronnay_news_comments WHERE news_id = '".$row['id']."'"));
?>

Kann mir jemand helfen? - Ich finde den Fehler nicht!

Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

lima-city: Gratis werbefreier Webspace für deine eigene Homepage
alfr3d

alfr3d hat kostenlosen Webspace.
16:19, 8.2.2012

webfreclan schrieb:
Kann mir jemand helfen? - Ich finde den Fehler nicht!

Ich weiß nicht in wiefern das wichtig ist, aber ich würde WHERE und ORDER BY tauschen und evtl das $_GET anders schreiben (denke das ist noch Gewohnheitssache funktionieren bestimmt beide Versionen), scheint mir zumindest das einzige zu sein wo der Fehler liegen könnte:
```
$sql = "SELECT id, autor, title, news, date, description, keywords FROM wronnay_news WHERE id  = '".$_GET['id']."' ORDER BY date DESC";
```
Beitrag zuletzt geändert: 8.2.2012 16:20:12 von alfr3d
alias-jongleur

alias-jongleur hat kostenlosen Webspace.

16:21, 8.2.2012
verdreh mal das Oder by und Where
dann drfte es SQL - standart sein
(@quelle http://dev.mysql.com/doc/refman/5.0/en/order-by-optimization.html)

mfg jongleur
hackyourlife

Moderator

hackyourlife hat kostenlosen Webspace.
16:21, 8.2.2012
alfr3d hat den Fehler indirekt behoben, so würde es aber reichen:
```
$sql = "SELECT
	id,
	autor,
	title,
	news,
	date,
	description,
	keywords
	FROM
		wronnay_news
	WHERE
		id = {$_GET['id']}
	ORDER BY
		date DESC";
```
ORDER BY muss an letzter Stelle stehen.
fatfreddy

fatfreddy hat kostenlosen Webspace.

16:21, 8.2.2012
Und mit der ungefilterten Verwendung von $_GET['id'] ist jedem Angreifer Tür und Tor geöffnet.
Autor dieses Themas
webfreclan

webfreclan hat kostenlosen Webspace.
16:22, 8.2.2012
Danke, Problem gelöst!
alfr3d schrieb:

webfreclan schrieb:
Kann mir jemand helfen? - Ich finde den Fehler nicht!

Ich weiß nicht in wiefern das wichtig ist, aber ich würde WHERE und ORDER BY tauschen und evtl das $_GET anders schreiben (denke das ist noch Gewohnheitssache funktionieren bestimmt beide Versionen), scheint mir zumindest das einzige zu sein wo der Fehler liegen könnte:
```
$sql = "SELECT id, autor, title, news, date, description, keywords FROM wronnay_news WHERE id  = '".$_GET['id']."' ORDER BY date DESC";
```
hackyourlife

Moderator

hackyourlife hat kostenlosen Webspace.

16:24, 8.2.2012

webfreclan schrieb:
Danke, Problem gelöst!
Du sollstest statt der direkten Übernahme des GET-Parameters die Funktion mysql_real_escape_string anwenden()! Ansonsten kann jeder ein beliebiges SQL-Kommando ausführen.
Autor dieses Themas
webfreclan

webfreclan hat kostenlosen Webspace.

16:30, 8.2.2012

hackyourlife schrieb:

webfreclan schrieb:
Danke, Problem gelöst!
Du sollstest statt der direkten Übernahme des GET-Parameters die Funktion mysql_real_escape_string anwenden()! Ansonsten kann jeder ein beliebiges SQL-Kommando ausführen.

Ok, hinzugefügt!

Beitrag zuletzt geändert: 8.2.2012 16:31:15 von webfreclan

hackyourlife

Moderator

hackyourlife hat kostenlosen Webspace.

16:31, 8.2.2012

So reicht es:

$sql = "SELECT
	id,
	autor,
	title,
	news,
	date,
	description,
	keywords
	FROM
		wronnay_news
	WHERE
		id = ".mysql_real_escape_string($_GET['id'])."
	ORDER BY
		date DESC";

bdsg

bdsg hat kostenlosen Webspace.
20:16, 8.2.2012
Wieso lasst Ihr immer ungeprüfte Abfragen auf eure Datenbanken los? mysql_real_escapestring () ist nicht die Lösung aller Problem.
hackyourlife schrieb:
So reicht es:
```
$sql = "SELECT
	id,
	autor,
	title,
	news,
	date,
	description,
	keywords
	FROM
		wronnay_news
	WHERE
		id = ".mysql_real_escape_string($_GET['id'])."
	ORDER BY
		date DESC";
```
z.B. einfachste Prüfungen vorher:
```
$error = false ;

if ( isset ( $_GET [ 'id' ] ) && is_numeric ( $_GET [ 'id' ] ) )  {
    $nID =  mysql_real_escape_string ( $_GET [ 'id' ] );
} else {
    $error = true ;
}

if ( !$error ) {
    // ....
}
```
Ist zwar bei einem numerischen ID relativ, aber wieso die SQL Abfrage ausführen, wenn sie sowieso nicht klappt?

Beitrag zuletzt geändert: 8.2.2012 20:18:02 von bdsg
lkmanager

lkmanager hat kostenlosen Webspace.
18:00, 10.2.2012
bdsg schrieb:
Wieso lasst Ihr immer ungeprüfte Abfragen auf eure Datenbanken los? mysql_real_escapestring () ist nicht die Lösung aller Problem.

[...]

z.B. einfachste Prüfungen vorher:
```
$error = false ;

if ( isset ( $_GET [ 'id' ] ) && is_numeric ( $_GET [ 'id' ] ) )  {
    $nID =  mysql_real_escape_string ( $_GET [ 'id' ] );
} else {
    $error = true ;
}

if ( !$error ) {
    // ....
}
```
Ist zwar bei einem numerischen ID relativ, aber wieso die SQL Abfrage ausführen, wenn sie sowieso nicht klappt?
Das "is_numeric()" hätte gereicht, danach brauch man nichts mehr überprüfen, entweder es ist eine Zahl oder nicht...
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

lima-city bietet dir kostenlosen und werbefreien Speicherplatz für Deine Homepage. Sofort anmelden und direkt loslegen mit Webspace, PHP, Datenbanken, günstigen Domains und einer tollen Community!

kostenloser Webspace werbefrei: lima-city