Hoi!
Stehe gerad vor einem kuriosem Problem..
Habe hier ein Sucheingabefeld. Der Wert wird direkt über $_GET['id'] in mein MySQl Code eingefügt.
In der Testphase noch unberührt und ohne Sicherheitsabfragen..
Und zwar suche ich nach Werten in der "id" Spalte (welche auto_increment ist und entsprechend Resultate vorhanden sein müssen!) nach Zahlen, welche irgendwo enthalten sind.
Z.B. suche ich nach "41", soll er mir auflisten: 41,141, 411, 1411,...
Was soweit auch funktioniert.
Suche ich jetzt aber nach "42", oder "2" oder "3" oder "4" findet er rein garnix.
Häng ich dann aber eine Zahl, die nicht 4, 2 oder 3 ist, kommen aufeinmal wieder Resultate :|:confused::P
Das macht doch keinen Sinn?!?! Hab ich geradn Rad ab oder was ist da los??

Hab schon folgende Schreibweisen getestet:
$Query=mysql_query("SELECT * FROM $DBTable WHERE id REGEXP '".$_GET['id']."' ORDER BY id");
$Query=mysql_query("SELECT * FROM $DBTable WHERE id REGEXP '.*".$_GET['id'].".*' ORDER BY id");
$Query=mysql_query("SELECT * FROM $DBTable WHERE id LIKE '%".$_GET['id']."%' ORDER BY id");

Der Wert wird direkt über $_GET['id'] in mein MySQl Code eingefügt.
[...]
Hab ich geradn Rad ab [...]??
Definitv: JA

Schau dir mal die PHP Data Objects und insbesondere PDOStatement->bindValue (http://de2.php.net/manual/de/pdostatement.bindvalue.php) an, damit lässt sich sowas schön sauber erledigen.

id ist sicher ein Int in der Tabelle...

zum eigentlichen problem:
das könnte daran liegen, dass du string-operationen auf integers anwendest. versuch es mal mit einem expliziten cast, also
SELECT * FROM $DBTable WHERE CAST(id AS CHAR) LIKE '%42%' ORDER BY id

Und nochmal zum anderen Problem, nach dem der TS gar nicht gefragt hat: ;)

Damit:
Der Wert wird direkt über $_GET['id'] in mein MySQl Code eingefügt.
… umschreibst du wunderbar den Begriff “SQL-Injection” (http://de.wikipedia.org/wiki/SQL-Injection). Nicht machen!

Und nochmal zum anderen Problem, nach dem der TS gar nicht gefragt hat: ;)

Damit:

… umschreibst du wunderbar den Begriff “SQL-Injection” (http://de.wikipedia.org/wiki/SQL-Injection). Nicht machen!


Richtig. Bitte nach Möglichkeit prepared statements verwenden :)

Hi!
Danke erstmal, hab mir die Sachen mal angeguckt, aber wirklich weiterhelfen tuts mir nicht :(
Muss vielleicht nochmal betonen, das ich in der Testphase extra keine Sicherheitsabfragen drin habe, um den Code klein zu halten und Fehler so schneller finden zu können. Später kommen diese denn schon rein! Aber trotzdem Danke! Hat für später ein paar gute Punkte dabei. Aber in diesem Stadium hilft es mir leider nicht weiter..
@Tommes: Ja ist ein INT. Wieso?
@Gast: Daran lags leider auch nicht.

Muss vielleicht nochmal betonen, das ich in der Testphase extra keine Sicherheitsabfragen drin habe, um den Code klein zu halten und Fehler so schneller finden zu können.
Das ist unzweckmäßig und absolut fahrlässig. Sowas sollte man von vorne herein sicher implementieren und nicht versuchen nachträglich die Löcher zu flicken.

Wie gesagt: Schau dir PDO an. Das ist seit Version 5.1 fester Bestandteil von PHP und bietet mit prepared statements einen zuverlässigen Schutz gegen Injections.

Weil die Regex und Like Abfragen nur für Strings funktionieren.

Du müsstest beim Insert der Datensätze ein zusätzliches Textfeld anlegen, das den Wert des Primärschlüssels (als String) erhält. Das ist zwar alles andere als elegant aber wohl das Einfachste.

zum eigentlichen problem:
das könnte daran liegen, dass du string-operationen auf integers anwendest. versuch es mal mit einem expliziten cast, also
SELECT * FROM $DBTable WHERE CAST(id AS CHAR) LIKE '%42%' ORDER BY id
also das nachgestgellt funktioniert bei mir wunderbar, du solltest es nochmal ordentlich testen

Hmm ob das an der MyISAM Datenbank liegt?
SELECT * FROM $DBTable WHERE CAST(id AS CHAR) LIKE '%42%' ORDER BY id
funktioniert def. nicht :(

*bullshit*

/edit: Hab den Fehler gefunden:
Das Problem lag beim AJAX bzw. dem XML-Interpreter. Habe hier eine schon vorhandene Tabelle, aber übersehen, das da & Zeichen vorhanden sind, welche der Interpreter nciht leiden konnte.
Entsprechend sind rein zufällig gerad die 3, 4 und 5 Ids nicht auf gelistet worden.
Gruss und Danke! Jetzt kommen die Sicherheitsabfragen ;)