PHP - Get ve Where

[UgurOnline]

şu kod ile ürünlerimi listeleyebiliyorum. kayıt yok ise metin yazdırıyorum.

$sql=mysql_query("select * from urunler ORDER by id DESC");
$sayi=mysql_num_rows($sql);
if ($sayi == 0) { echo "<center><p>Listelenecek ürün bulunamadı!</p></center>"; } else { ?>

ancak benim istediğim, where komutunu kullanarak get ile çektiğim marka verisine ait ürünleri listelemek. şu sorguyu denediğimde:

$sql=mysql_query("select * from urunler WHERE marka=".$_GET['marka']." ORDER by id DESC");

şu şekilde hata alıyorum:

[B]Warning[/B]: mysql_num_rows() expects parameter 1 to be resource, boolean  given in .....

problem nerede acaba yardımlarınız için teşekkürler

 

[serkay1578]

$marka=strip_tags($_GET['marka']);
$sql=mysql_query("select * from urunler WHERE marka='$marka' ORDER by id DESC");

Hocam bu şekilde kullanırsan hacklerlen siteni bilgin olsun güvenlik önlemi almamışsın hiç ben strip tags yaptım ama yeterli olmaz

 

[UgurOnline]

dostum teşekkür ederim =)

 

[serkay1578]

dostum teşekkür ederim =)

Önemli değil Dediğim gibi dikkat et mysql_real_escape_string falan kullan kesinlikle

 

[UgurOnline]

nasıl bir güvenlik önlemidir bu basit şekilde açıklayabilirmisin?

 

[serkay1578]

nasıl bir güvenlik önlemidir bu basit şekilde açıklayabilirmisin?

O yukarıda yazdığın kodu kullansan mesela diyelimki adres şu şekilde index.php?marka=123 ya ben şöyle yaparsam index.php?marka=" şunu koyarsam direk senin sql sorguna müdahale edebilirim mesela üye girişi yapabilirim üye girişi varsa ve böyle güvenlik önlemi almadıysan