Mysql error

Det giver ikke mening med en WHERE betingelse, når du vil indsætte en række.

Måske du mener UPDATE istedet for INSERT?

Hmm.. jeg tror faktisk du har ret.

Hvordan skal den så se ud?

mysql_query ("UPDATE artikel set godkend='yes' where id = $_GET[nr] ") or die(mysql_error()); ??
Det virker ihvertfald sådan. Tak for hjælpen

mysql_query("UPDATE artikel SET godkend = 'yes' WHERE id = '".$_GET['nr']."'") or die(mysql_error());

Giver du ikke lige et svar, så får du point'snene

Ok.

cmon merkur8 hvornår begyndete du at sætte anførselstegn omkring talværdier ? :)

Det er da altid en god vane. SQL injections og den slags.

Det må jeg hellere prøve at forstå. jeg plejer at fraråde det "injections"?

Det er nu ganske fornuftigt. Med '...' + addslashes (direkte eller indirekte)
forhindrer modifikation af SQL-sætningen, også når det er tal.

Men strengt taget bør man validere om det er et tal i PHP, hvis man nu
forventer et tal - har man gjort det, er det ligegyldigt med '...'-erne

Vi forventer at id er nummerisk og checker iøvrigt intet

En ond mand sætter id til
NULL OR id LIKE %%

Og bliver super_user
SELECT is_super_user FROM foo WHERE id = $_GET['id']

Det kunne han ikke gøre, hvis vi skrev
SELECT is_super_user FROM foo WHERE id = '".$_GET['id']."'

Der er mange andre eksempler.

' ' omkring værdier alene nytter iøvrigt ikke, hvis vi glemmer at escape input.

Men det forhindrer sammen med inputvalidering, og escape af input
sql injections.

"SQL Injection is a technique which enables an attacker to execute unauthorized SQL commands by taking advantage of unsanitized input opportunities in Web applications building dynamic SQL queries."

Bare en tilfældig definition fra nettet. (De skriver Web applications. Men det kan jo være andre typer applikationer også.)

erikjacobsens forklaring var vist mere præcis end min egen, men han er jo også uddannet i at formidle den slags :)

takker

merkur8 >> ja og nej. det var din forklaring af injections der gjorde behovet for 'noget' klart.
men jeg foretrækker godtnok ej's ide med at checke data først :-)
anførselstengn er en lovlig 'smart' løsning.

Så har jeg da lige et citat til :)

"Security in depth means protecting a page as best as you can, assumin other protections will fail." (Curphey, Mark et al. (2002))