dedlfix: Unknown column 'XXX' in 'field list'

Beitrag lesen

Hi!

Und genau so (plus Escaping-Funktion, mysqli_real_escape_string) machst du das auch mit den $variablen.
Aber bitte nur für Strings ;)

Der Einwand ist unvollständig, weil er so ausgelegt werden kann, dass es bei beispielsweise Zahlen generell nicht nötig sei oder gemacht werden darf. Voraussetzung (für "nicht nötig") ist jedoch, dass sichergestellt ist, dass es wirklich Zahlen sind und nicht nur anzunehmenderweise welche. Und das ist bei PHP nicht so einfach der Fall, wenn es sich um Benutzereingaben handelt. Außerdem schadet es MySQL auch nicht, Zahlenwerte quotiert und maskiert zu verwenden.

Lo!