PHP Datenbankabfrage geht mit POST-Variable nicht

Bierbank1337

Banned
Registriert
März 2018
Beiträge
8
hallo, ich habe folgende Abfrage:

PHP:
$sql="SELECT punkte FROM users WHERE name=".$_POST['name']."";
foreach($pdo->query($sql) as $row)
{
	$punkte=$row['punkte'];
}

aber irgendwie nimmt er die POST-variable nicht, erstelle ich vorher eine temporäre und ändere die 1. Zeile mit

PHP:
$sql="SELECT punkte FROM users WHERE name='$name'";

geht es... was ist denn da falsch bitte ?
 
Und so entsteht SQL Injection...

P.S. die Anführungszeichen fehlen links und rechts von der POST Variable.
 
Siehe Skaros Kommentar, nimm Prepared Statements ;)
 
Zurück
Oben