hi,

ich hab nun endlich diese Prepared Statements Geschichte verstanden, also, ich krieg statt errormeldungen nun das Gewünschte Resultat.

Aber ich bin noch etwas verunsichert, insbesondere wegen SQL-Injection, daher die Frage:

Wie übergebe ich $_SERVER arrays und Usereingaben an das verarbeitende Script?

Es geht um folgendes Schnippsel:

  
$myquery = $_SERVER['REQUEST_URI'];   // muss ich hier Escapen?  
$myquery = $_GET['kategorie'];        // muss ich hier Escapen?  
  
$stmt =  $verbindung->stmt_init();  
  
if ($stmt->prepare("  
SELECT  
 mein_menu.haupt_gruppe  
FROM  
 mein_menu  
WHERE  
 mein_menu.haupt_gruppe = ?  
")) {  
// warum bin ich der einzige, der mit . seine Tabellen verknüpfen muss?  
  
    $stmt->bind_param("s", $myquery);  
  
    $stmt->execute();  
  
    $stmt->bind_result($haupt_gruppe);  
  
    $stmt->fetch();  
  
    printf("%s Title %s\n", htmlspecialchars($myquery), $haupt_gruppe);  
  
// wie baue ich aus dem Resultat ein array?  
  
    $stmt->close();  
}

mfg