Forum PHP.pl

Witam mam taki problem mianowicie robię zapytanie i nie chce przejsc

[SQL] pobierz, plaintext 
$nazwa= $_GET['nazwa'];
$spis = MySQL::dbarray('SELECT * FROM cos WHERE  kategoria = '.$nazwa.' ');
[SQL] pobierz, plaintext 

i otrzymuje takie coś:

Błąd MySQL: Unknown column 'xxxxxx' in 'where clause' Dlaczego (IMG:style_emoticons/default/questionmark.gif)


Ps.Z góry mówię ze zapytanie jest podatne ale nie o tym mowa.

W tytule dajesz tag smarty - a co on ma do tego?

A komunikat błędu jest chyba wystarczająco jasny... nie potrafisz sobie poradzić z przetłumaczeniem tego?
Podpowiedź: wyświetl sobie treść tego zapytania.

Ten post edytował Crozin 6.12.2009, 17:32:10

to ma wspólnego że pisze to pod smarty ;/ a komunikat jest jasny i dlatego pytam ponieważ jest to dość dziwne iż xxxxxx nie jest kolumna tylko wynikiem z GET'a

Ten sposób jest bardzo podatny na sql injection. Filtruj dane!

!?

czytajcie co się pisze a pózniej opisujcie przecież napisałem ze jest podatne i już to przetłumaczyłem (IMG:style_emoticons/default/sciana.gif)

Powtórzę: wyświetl sobie treść tego zapytania.

Jak mogę wyswietlićc treść skoro dostaję błąd

[PHP] pobierz, plaintext 
$nazwa= $_GET['nazwa'];
$query = 'SELECT * FROM cos WHERE  kategoria = '.$nazwa.' ';
$spis = MySQL::dbarray($query);
 
print($query);
[PHP] pobierz, plaintext 

[PHP] pobierz, plaintext 
$spis = MySQL::dbarray("SELECT * FROM cos WHERE  kategoria = '{$nazwa}'");
[PHP] pobierz, plaintext 

już sobie poradziłem smarty ma swoje własne zmienne

[PHP] pobierz, plaintext 
$smarty.get.nazwa_zmienne
[PHP] pobierz, plaintext 

strona leżała nie po stronie zapytania ale wielkie dzięki za pomoc