MYSQL Tabellen-Zeilen gezielt löschen (PHP)

[Nammo]

Ich bin gerade dabei, eine Seite zu erstellen, an der mehrere Leute arbeiten. Ich habe bereits eine PHP Funktion erstellt, mit der der Benutzer nach der Anmeldung Beiträge schreiben kann.

Nun möchte ich eine Funktion einfügen, die es dem Nutzer ermöglicht, Beiträge zu löschen. Dazu soll er die Überschrift des Beitrags in ein Formular einfügen und dann auf löschen klicken.

Das Problem ist nun, dass man in die Funktion:
mysql_query("DELETE FROM Tabelle WHERE Wert = 'Überschrift'");
keine Variablen für Überschrift einfügen kann.

Gibt es eine andere Möglichkeit?

- - - Aktualisiert - - -

Sorry ich hab da was verwechselt. Das Beispiel würde doch funktionieren.:wall:

 

[pdelvo]

Beiträge anhand der Überschrift zu identifizieren ist eine sehr sehr schlechte idee. Da muss nur mal zwei Beiträge mit der gleichen Überschrift vorhanden sein und dann löschst du beide Einträge. Außerdem sieht das so aus als würdest du Parameter die vom User standen direkt in den Query einbauen. Das ist eine noch viel viel schlechtere Idee. Angenommen du hast noch ne Tabelle Users wo alle Nutzer gespeichert sind. Überleg dir mal was passiert wenn jemand '; DROP TABLE USERS;-- eingibt. Do würdest das dann zu diesem Query zusammenbauen:
DELETE FROM Tabelle WHERE Wert = ''; DROP TABLE USERS;--'


Was passiert? erst wird das DELETE ausgeführt und alle Werte gelöscht mit Wert = ''. Das ist wahrscheinlich keiner. Danach wird aber DROP TABLE USERS ausgeführt und die komplette Nutzertabelle gelöscht. Das -- ist dahinter damit deine schließenden Anführungszeichen nichts ausrichten. Nennt sich SQL Injection und ist wirklich eine Sache auf die man achten muss. In (vernünftigen) Programmierstrachen gibt man dann die Eingben als Parameter an. IN PHP muss man die Eingaben stattdessen Escapen mit mysql_real_escape_string (nicht mysql_escape_string. Das ist verbuggt und anstatt es zu fixen hat man lieber ne neue Funktion eingeführt)