Tabellenname als Variable bei SQL-Anfrage im PHP-Script

[sharmuur]

Hallo,

ich habe folgende Kode geschrieben und bekomme ich eine Fehlermeldung:
Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in /........script.php on line 129
Kann es sein dass, das Fehler an...FROM '$szenario'... liegt?
danke voraus

                $szenario=$_POST["szenario"];

                $abfrage_jahre="SELECT DISTINCT year(datum) FROM '$szenario' where parameter_code 
		IN (select parameter_code from parameter where parameter='$par') ORDER BY year(datum)";
		$ergebnis_jahre=mysql_query($abfrage_jahre);
		$anzahl=1;
		while(list($vonjahre[$anzah])=mysql_fetch_row($ergebnis_jahre)){
			$anzahl++;
		}

 

[Yaslaw]

Ja. Der Tabellenneman nicht mit ' ' umgeben

$sql = "SELECT * FROM $tabellenname";

Ansonsten hab ich mal ein Tutorial geschrieben, dass dir auch weiterhilft
PHP MySQL Debug Queries

 

[sharmuur]

danke Yaslaw,

es hat super geklappt. Dein Hinweis hat wie immer geholfen.

Grüße
sharmuur

 

[bn]

Hast du dir bezüglich der Sicherheit deines Scriptes mal Gedanken gemacht?

Böswillige Menschen können dir per POST alles Mögliche an Unsinn mitschicken. Wenn du diese Lösung unbedingt einsetzen möchtest, dann solltest du die Tabelle vor der Verwendung im SQL unbedingt validieren. Dies gilt übrigens auch für Parameter in der Abfrage (mysql_real_escape anwenden!)

Grüße BN

 

[sharmuur]

danke für den Hinweis,

diese Webseite ist nur intern benutzt und auch mit kennwort vorgesehen, daher wird es nicht so grosses problem machen

Gruß