Mysql Tabelle ausgeben problem

gombol

ich habs so gemacht:

PHP

$trainer = $_SESSION['username'];


$lo = mysql_real_escape_string($trainer); 


$abfrage = "SELECT verein, budget, budgetaktuel, icq FROM User WHERE username = '$lo' ";
$ergebnis = mysql_query($abfrage);

Sollte auch stimmen oder?
Und das muss ich überall da machen wo ich etwas aus der Datenbank abfrage?

Hier der quellcode

PHP

$trainer = $_SESSION['username'];


$lo = mysql_real_escape_string($trainer); 


$abfrage = "SELECT verein, budget, budgetaktuel, icq FROM User WHERE username = '$lo' ";
$ergebnis = mysql_query($abfrage);


echo"<table width='642' height='59' border='0'>
  <tr>
    <td width='127' height='27'>Trainer</td>
    <td width='119'>Verein</td>
    <td width='196'>Budget (Saisonstart)</td>
    <td width='182'>Budget (aktuell)</td>
    <td width='182'>icq</td>
  </tr>";
  while($row = mysql_fetch_object($ergebnis))
   {    
  echo"<tr>
    <td>$trainer</td>
    <td>$row->verein</td>
    <td>$row->budget</td>
    <td>$row->budgetaktuel</td>
    <td>$row->icq</td>
  </tr>
</table>";
   }
echo "<p>&nbsp;</p>";


$abfrage2 = "SELECT User.username, User.verein, Spieler.name, Spieler.pos, Spieler.fuss, Spieler.staerke, Spieler.oldverein, Spieler.verein, Spieler.Marktwert, Spieler.sonstiges, Spieler.bearbeiten , Spieler.mindest, Spieler.hoechst FROM User LEFT JOIN Spieler ON User.verein=Spieler.verein WHERE username = '$trainer'  ";
$ergebnis2 = mysql_query($abfrage2);


echo"<table  width='1155' height='66' border='1'>
  <tr>
    <td>Spielername</td>
    <td>Position</td>
    <td>Fuss</td>
    <td>Staerke</td>
    <td>Frueherer Verein</td>
    <td>Marktwert</td>
    <td>min Abloese</td>
    <td>max Abloese</td>
    <td>Sonstiges</td>
    <td>Bearbeiten</td>
  </tr>";

  while($row = mysql_fetch_object ($ergebnis2))
   {    
 $marktwertformat= number_format($row->Marktwert, 0, '', '.');
 $mindestformat= number_format($row->mindest, 0, '', '.');
 $hoechstformat= number_format($row->hoechst, 0, '', '.');
 

  echo"<tr>
    <td>$row->name</td>
    <td>$row->pos</td>
    <td>$row->fuss</td>
    <td>$row->staerke</td>
    <td>$row->oldverein</td>
    <td>$marktwertformat</td> 
    <td>$mindestformat</td>
    <td>$hoechstformat</td>
    <td>$row->sonstiges</td>
    <td>$row->bearbeiten</td>
  </tr>";
     }
echo"</table>";


echo "<br />"; 


?>

Alles anzeigen

Tobse

Wenn du es aus einer Session nimmst, musst du es nur dann prüfen, wenn es in die Session gschreiben wird, also beim login. Angenommen, in deiner login-php steht als SQL-Befehl

PHP

$sql="SELECT password FROM users WHERE username='".$username."'";

und der user gibt ein

PHP

"Tobse' AND SELECT password FROM users WHERE username='Admin";

dann sieht unser SQL-Befehl wie folg aus:

PHP

$sql="SELECT password FROM users WHERE username='Tobse' AND SELECT password FROM users WHERE username='Admin'";

und unter umständen kannd as natürlich richtig böse ausgehen. Aber wenn du jetzt schreibst:

PHP

$sql="SELECT password FROM users WHERE username='".mysql_real_escape_string($username)."'";

dann sieht bei einer gleichen gefärlichen eingabe der SQL (hab nicht getestetwie genau $username dann aussieht) so aus:

PHP

$sql="SELECT password FROM users WHERE username='TobseAdmin'";

und ist damit komplett ungefährlich für dich. Wenn du jetzt also viele usereingaben renderst, die über POST kamen, schreibst du einfach an den anfang (natürlich muss die funktion auch iwo hin):

PHP

$_POST=escape_array($_POST);

und damit hat sichs. Mehr dazu bei Google unter Mysql injections

gombol

das ist meine login.php hier schau mal habs mit deiner function gemacht:

PHP

<?php
session_start();
?> 
<?php
include "datenbank.php";


 function escape_array($ar) {
   foreach ($ar as $key => $value) {
    $ar[$key] = mysql_real_escape_string($value);
  } 
      return $ar;
}


$_POST=escape_array($_POST);  


$username = $_POST['username'];
$passwort = md5($_POST['passwort']); 


$abfrage = "SELECT username, passwort FROM User WHERE username LIKE '".mysql_real_escape_string($username)."' LIMIT 1";
$ergebnis = mysql_query($abfrage);
$row = mysql_fetch_object($ergebnis);


if($row->passwort == $passwort)
    {
    $_SESSION['username'] = $username;
    echo "Login erfolgreich. <br> <a target=\"_top\" href=\"indexgeheim.php\">Transfermarkt Betreten</a>";
    }
else
    {
    echo "Benutzername und/oder Passwort waren falsch. <a href=\"login.php\">Login</a>"; 
    }






?>

Alles anzeigen

Tobse

Is schon fast gut :P, aber des mysql_real_escape_string(); brauchste nich, wenn du vorher alles mit der funktion gemacht hast. in diesem Fall würde ich die Funktion weglassen und das im Query drinstehen lassen, dafür aber bei der registreirung wo mehr daten dabei sind einsetzten. Die funktion spart aber alles in allem nur schreibarbeit. Wenn du aber noch sicherer gehen möchtest, kannst du in deine user-Tabelle noch das Feld "username_hash" hinzufügen und die Daten mit JavaScript MD5 gleich verschlüsselt senden und dann eben mit username_hash vergleichen.

gombol

ja ich möchte jetzt keine Seite schreiben die öffentlich ist also die Seite wird bloß an 15 Leute gesendet und bleibt auch unter denen und ich werde den Leuten mitteilen das sie nicht ihr Standard Pw dort eingeben sollen was sie überall benutzen ...

Tobse

Dann kannstes lassen wies is.

gombol

Wie kann ich das hier nach der id sortieren?

PHP

$abfrage2 = "SELECT User.username, User.verein, Spieler.name, Spieler.pos, Spieler.fuss, Spieler.staerke, Spieler.oldverein, Spieler.verein, Spieler.Marktwert, Spieler.sonstiges, Spieler.bearbeiten , Spieler.mindest, Spieler.hoechst FROM User LEFT JOIN Spieler ON Spieler.verein=User.verein WHERE username = '$trainer' ";
$ergebnis2 = mysql_query($abfrage2);

bekomme nen fehler wenn ich Order BY id ASC
hinten dran hänge

Warning: mysql_fetch_object(): supplied argument is not a valid MySQL result resource in /var/www/virtual/http://gomble.areahost.de/htdocs/transfermarkt/myclub.php on line 76

zeile 76:

PHP

while($row = mysql_fetch_object ($ergebnis2))
   {    ....

Grevas

Du wählst `id` auch nicht aus oder? Probiers mal mit... (SELECT User.id, ...). Am besten gibst du auch den MYSQL error aus bei der query! (mysql_query() or echo mysql_error(); )

gombol

ja hatte dies vergessen aber er sortiert es troßdem nicht schau dir den screenshot an

a id=73
b id=74
c id=75

aber in der tabelle wirds nciht so angezeigt...

Bandit

Ohne zu sehen, was du da eingebaut hast, kann dir niemand helfen.

synaptic

und wenn du was in der selectabfrage nach der id sortieren willst musste des wie grevas sagte auch mit ner abfrage von id machen und dann order by id ASC oder DESC (aufsteigend oder absteigend eben)

gombol

hier:

PHP

$abfrage2 = "SELECT User.id, User.username, User.verein, Spieler.name, Spieler.pos, Spieler.fuss, Spieler.staerke, Spieler.oldverein, Spieler.verein, Spieler.Marktwert, Spieler.sonstiges, Spieler.bearbeiten , Spieler.mindest, Spieler.hoechst FROM User LEFT JOIN Spieler ON Spieler.verein=User.verein WHERE username = '$trainer' Order BY User.id ";
$ergebnis2 = mysql_query($abfrage2);
echo mysql_error();
echo"<table  width='1155' height='66' border='1'>
  <tr>
    <td>Spielername</td>
    <td>Position</td>
    <td>Fuss</td>
    <td>Staerke</td>
    <td>Frueherer Verein</td>
    <td>Marktwert</td>
    <td>min Abloese</td>
    <td>max Abloese</td>
    <td>Sonstiges</td>
    <td>Bearbeiten</td>
  </tr>";

  while($row = mysql_fetch_object ($ergebnis2))
   {    
 $marktwertformat= number_format($row->Marktwert, 0, '', '.');
 $mindestformat= number_format($row->mindest, 0, '', '.');
 $hoechstformat= number_format($row->hoechst, 0, '', '.');
 

  echo"<tr>
    <td>$row->name</td>
    <td>$row->pos</td>
    <td>$row->fuss</td>
    <td>$row->staerke</td>
    <td>$row->oldverein</td>
    <td>$marktwertformat</td> 
    <td>$mindestformat</td>
    <td>$hoechstformat</td>
    <td>$row->sonstiges</td>
    <td>$row->bearbeiten</td>
  </tr>";
     }
echo"</table>";

Alles anzeigen

gombol

Kann mir keiner helfen ?

Tobse

Hab ich dir doch schon gesagt.....

PHP

"'$trainer'";
// Gibt den string: $trainer
"~".$trainer."~";
// Gibt den string ~der_inhalt_aus_$trainer~

und mysql_error(); ist immer dein Freund.

gombol

nein ich meine dass:

https://www.forum-hilfe.de/showpost.php?p=355265&postcount=27
und
https://www.forum-hilfe.de/showpost.php?p=355273&postcount=29

Tobse

Aso... Is super easy

PHP

"SELECT ~ ORDER BY feldname";

gombol

habe ich schon probiert, er sortiert es trotzdem nicht

gombol

habe noch eine frage was ist hier falsch er sagt mir das an der syntax was nicht stimme:

PHP

$betabfrage = "SELECT Angebote.id,Angebote.spielerid, Angebote.kaufenleihen, Angebote.gebotzeit,Angebote.Zeit, Angebote.hoechsbietender, Angebote.sofortkaufbieten, Angebote.angebotsende, Spieler.mindest, Spieler.hoechst, Spieler.name, Spieler.Marktwert, Spieler.verein FROM Angebote LEFT JOIN Spieler ON Angebote.spielerid = Spieler.id Order BY Angebote.id WHERE Angebote.id = '$angebotid' ";

Tobse

was stimmt denn nicht? (msql_error() oder $db->error)

gombol

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'WHERE Angebote.id = '20'' at line 1

Tags