PHP -> SQL abfrage mit LIKE

Re: PHP -> SQL abfrage mit LIKE

Dr. Watson — Tue, 16 Jun 2009 19:27:31 GMT

Wie soll das auch klappen?

Innerhalt eines sprintf ist das % ein reserviertes Zeichen, und steht für "da soll Inhalt rein". Wenn du nun dein % fürs SQL LIKE darin platzierst, denkt die Funktion, du willst 2 Parameter an sprintf übergeben, und in den String einfügen.

Re: PHP -> SQL abfrage mit LIKE

peter_neugartner — Mon, 15 Jun 2009 22:30:02 GMT

Wo soll denn das laufen? Hätt ich gern die URL zu, perfektes XSS in the making

Re: PHP -> SQL abfrage mit LIKE

mko — Mon, 15 Jun 2009 22:09:22 GMT

Dürfte wohl mit dem % zusammenhängen, siehe http://www.codingforums.com/showthread.php?t=99556

Aber sprintf funktioniert eigentlich ganz anders und tut etwas ganz anderes, wie schon hellbringer über mir schreibt...

Warum setzt du überhaupt deine Abfrage mit sprintf zusammen? Verwende doch prepared statements mit mysqli oder einem abstraction layer wie DB2 aus PEAR. Oder verwende die "normalen" MySQL-Escape-Funktionen...
Aber vielleicht hast du ja einen guten Grund

Re: PHP -> SQL abfrage mit LIKE

hellbringer — Mon, 15 Jun 2009 22:09:07 GMT

Das ergibt keinen Sinn. Schau dir nochmal das Handbuch zum Thema sprintf() an:

http://de.php.net/manual/en/function.sprintf.php

Re(3): PHP -> SQL abfrage mit LIKE

LFMoe18 — Mon, 15 Jun 2009 22:01:32 GMT

Ja und wenn du mal nur schreibst:

$query_terminan = sprintf("SELECT * FROM hotel WHERE name LIKE %A%", $colname_terminan);

Probier mal ob er damit auch Probleme hat.. dann wiss ma wenigstens dass mit dem übergebenen Wert was nicht passt.

Re(2): PHP -> SQL abfrage mit LIKE

KKH — Mon, 15 Jun 2009 21:48:20 GMT

same problem

%A%
Warning: sprintf() [function.sprintf]: Too few arguments in

Re: PHP -> SQL abfrage mit LIKE

LFMoe18 — Mon, 15 Jun 2009 21:27:31 GMT

Ähm.. ich vermute jetzt nur... also probiers einfach aus.. maybe hilfts ja was^^

"SELECT * FROM hotel WHERE name LIKE %$attr%"

Achso sehe gerade innerhalb des $attr steht das ja schon drin .. mh..

Schon probiert:

"SELECT * FROM hotel WHERE name LIKE ".$attr."" ?

Re: PHP -> SQL abfrage mit LIKE

LFMoe18 — Mon, 15 Jun 2009 21:27:31 GMT

Ähm.. ich vermute jetzt nur... also probiers einfach aus.. maybe hilfts ja was^^

"SELECT * FROM hotel WHERE name LIKE %$attr%"

PHP -> SQL abfrage mit LIKE

KKH — Mon, 15 Jun 2009 21:09:11 GMT

Ich hab in einer kleinen website folgende abfrage drinnen:

$query_terminan = sprintf("SELECT * FROM hotel where $attr", $colname_terminan);

wobei in attr s.B.: name='Flup' drinnen steht

das ganze funktioniert und macht was es soll!

----------------------------------------------------------------

Ich wollt das ganze ein wenig 'pimpen' und hab folgendes draus gemacht

$query_terminan = sprintf("SELECT * FROM hotel WHERE name LIKE $attr", $colname_terminan);

wobei bei attr \'%A%\' drinnen steht wenn ich irgendwo nen namen mit dem Großen A suche.

Fehlermeldung: Warning: sprintf() [function.sprintf]: Too few arguments in /fileurl

ich vermiue das problem liegt an den Anführungszeichen ich habs mit doppelten Anführungszeichen auch schon versucht und habe diese zuvor escaped (also \)

System: Apache2, php5

vIELLEICHT KANN MIR JA JEMAND WEITERHELFEN