möchte es aber mit BindParam machen wegen der Sicherheit
top!
So sollte es laufen:
<?php
if('POST' == $_SERVER['REQUEST_METHOD']) {
if(!isset($_POST['senden'])) {
exit("Falsches Dokument");
} else {
include "sec/verbindung.inc.php";
$sql = "SELECT id, email FROM daten WHERE email LIKE :idtag"; // '?'% entfernt, placeholder hinzugefügt
$stmt = $verbindung->prepare($sql);
// $stmt->bindParam(1, htmlspecialchars($_POST['id-tag']));
$key = ':idtag';
$val = trim((string)$_POST['id-tag']) . '%'; // trim((string)$_POST['id-tag']), falls user " myEmail@this.com " eingibt
$stmt->bindParam($key, $val, PDO::PARAM_STR);
$stmt->execute();
$arr = $stmt->fetchAll(PDO::FETCH_ASSOC);
echo "
<table border='1'>
<thead>
<tr>
<th>id</th>
<th>Email</th>
</tr>
</thead>
<tbody>
";
foreach ($arr as $data) {
echo "
<tr>
<td>" . $data['id'] . "</td>
<td>" . $data['email'] . "</td>
</tr>
";
}
echo "<tbody></table>";
}
}
Du kanns allerdings auch ohne bindParam:
$sql = "SELECT id, email FROM daten WHERE email LIKE :idtag"; // '?'% entfernt, placeholder hinzugefügt
// parameter array für ->execute() vorbereiten:
$para = array(
'idtag' => trim((string)$_POST['id-tag']) . '%';
);
$stmt = $verbindung->prepare($sql);
$stmt->execute($para); // para mit an execute übergebenWas passiert hier:
Du übergibst (ob per bindParam oder execute($para)) einen String myemail@or.whatever%.
PDO setzt diesen String "intern" so ein:
SELECT id, email FROM daten WHERE email LIKE '%myemail@or.whatever'
Warum?
Weil alles, was Du per execute($para) oder bindParam($key, $val, PDO::PARAM_STR) übergibst, zwischen Anführungszeichen gesetzt wird -- also al String eingesetzt wird.
Will man etwas anderes als einen String in die Query schreiben lassen (zB für LIMIT :x :y), dann muss man
- bindParam() nutzen
- und bindParam() sagen, was genau man vorhat: zB bindParam($key, $val, PDO::PARAM_INT) -- einen int
Hoffe das hilft.
Vorweg: sorry, hab nen Fehler drin gehabt: das % muss am Ende angehangen werden -- so wie Du es richtig gemacht hast =)
Du prüfst, ob der Wert in $arr größer ist, als 0. 
Willst aber sicherlich prüfen, ob:
if(count($arr) < 1) { echo "Kein Datensatz gefunden"; } // weniger als 1
Oder aber noch einfacher:
if(empty$arr)) { echo "Kein Datensatz gefunden"; } // empty wäre zB NULL, 0, '', array(), ...@cotton in deinem param array fehlt doch der : im key oO
@cotton: Habe es auch so gemacht bevor du es am Ende schon gesetzt hast (Das Prozentzeichen). Trotzdem zeigt er mir immer noch keine Datensätze an.
Danke für die Hilfe der Abfrage ob ein Datensatz gefunden wurde oder nicht. 
wolf das geht auch ohne =)
Hat den Vorteil, dass man bei dynamischen Scripten den $key nicht immer mit einem : verbinden muss (':' . $key).
@string97 dann sieh am besten mal nach, was für Queries am Server ankommen.
Query log in table:
http://stackoverflow.com/a/14404000/3411766
-- query log einschalten:
SET global general_log = 1;
-- server soll in table schreiben, anstatt in file:
SET global log_output = 'table';
-- table leeren:
truncate mysql.general_log;
-- jetzt führst du dein script aus und mysql server schreibt alle queries in den table
-- alle queries laden:
select * from mysql.general_log
-- vor neuem versuch table wieder leeren:
truncate mysql.general_log;
-- wenn fertig nicht vergessen logging wieder auszuschalten:
SET global general_log = 0;Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!