Beiträge von SinnlosS

Zitat von Sucki

Also erstmal danke.^^

Dann eine Verständnissfrage:

mysql_real_escape_string bedeutet also, dass es der Variablen immer einen Wert zuweist und der dadurch nicht auf 0 stehen kann?

zu Punkt 2.:
Edit* schon gut. xD

Regards Sucki

mysql_real_escape_string maskiert bestimmte Zeichen in deinem String um SQL-Injection zu verhindern.
Mal ein Beispiel für SQL-Injection:

<?php
// Datenbankabfrage zur Ueberpruefung der Logindaten
$query = "SELECT * FROM users WHERE user='{$_POST['username']}' AND password='{$_POST['password']}'";
mysql_query($query);


// Wir haben $_POST['password'] nicht geprueft, es koennte also alles darin
// stehen, was der User will. Zum Beispiel:
$_POST['username'] = 'aidan';
$_POST['password'] = "' OR ''='";


// Das bedeutet, der an MySQL gesendete Query wuerde sein:
echo $query;
?>

Zitat

Die Abfrage, die an MySQL übermittelt wird:

SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''

http://de.php.net/mysql_real_escape_string

Zitat von thilda

Selbst bei 5 selectboxen kann das wegfallen.
Über eine ausreichende beschriftung und eine php-ausleseung kann man das schon machen.

Man sollte mittels php eine noscript-Weiche stellen. Trotzdem ist es sehr gut das generell über JavaScript (noch besser Ajax) zu realisieren, da es besonders bei hochfrequentierten komplexeren Seiten sehr performancelastig sein kann für jede Auswahl die ganze Seite neu zu laden. Bei 5 Auswahlen würde mich als User das schon ganz schön ankotzen wenn die Seite nicht extrem schnell läd.

Ich hab das mal auf die relevanten Teile gekürzt und die ein oder andere Anmerkung zu Änderungen reinkommentiert, so hier sollte es eigentlich laufen:

<?php
if (isset($_POST['submit'])) {
    // Eingabefelder-Überprüfung mit empty()
    if(empty($_POST['Username']) || empty($_POST['pass']))  {
        die('Sie haben nicht alle Felder ausgefüllt.');
    }
    // Wird $_POST['email'] überhaupt benötigt?
    if (!get_magic_quotes_gpc()) {
        $_POST['email'] = addslashes($_POST['email']);
    }
    // mysql_real_escape_string() verwenden zum Schutz vor SQL-Injection, siehe PHP-Doku
    $username = mysql_real_escape_string($_POST['Username']);
    // Keine SELECT * sondern nur Felder selecten die auch gebraucht werden, s.u.
    // LIMIT 1, es gibt wohl jeden usernamen nur einmal
    $check = mysql_query("SELECT password FROM users WHERE Username='".$username."' LIMIT 1")or die(mysql_error());
    $check2 = mysql_num_rows($check);
    if(!$check2) {
        die('Dieser Benutzer existiert nicht. Bitte versuchen Sie es erneut.');
    }
    // while-Schleife entfernt, da unnötig
    $info = mysql_fetch_array( $check )) {
    $pass = md5($_POST['pass']);
    if ($pass != $info['password']) {
        die('Incorrect password, please try again.');
    }
}
?>

Wurde dir die englische oder die deutsche Fehlermeldung zum PW ausgespuckt? Bei der deutschen ist völlig klar das die kommt, da du in der zweiten Abfrage auf user nach $username sucht, die Variable wird vorher aber gar nicht belegt, also kann auch kein Datensatz gefunden werden. (Wozu eigentlich die zweite Abfrage auf user?)

Anmerkung:
Warum soll ich nicht SELECT * schreiben?
http://www.php-faq.de/q-sql-select.html

Ok, das ist schonmal lesbarer.

An welcher Stelle hakt es denn genau, also ab wo ganz genau macht es nicht mehr das was du gern hättest?

Das ist mir in der Form zu unleserlich. Rück den Quellcode mal ein und gibt ihn formattiert aus -> [ php ] [ /php ]
Dann schau ich es mir vllt. bei Gelegenheit an.

Hier mal ein kleines Login-Skript, vllt. hilft dir das auch als Anregung schon weiter:

<?php
session_start();
include("config/dbconnect.php");
if(!isset($_SESSION['admin'])) {
    if(isset($_POST['ok'])) {
        $sql = "SELECT id FROM user WHERE login=? AND passwort=? LIMIT 1";
        $res = $db->prepare($sql);
        $res->bind_param("ss",$_POST['login'],$_POST['passwort']);
        $res->execute();
        $res->bind_result($id);
        if($res->fetch()) {
            $_SESSION['admin'] = true;
            $_SESSION['time']  = time();
        }
        $host  = $_SERVER['HTTP_HOST'];
        $uri   = rtrim(dirname($_SERVER['PHP_SELF']), '/\\');
        $extra = "admin.php";
        header("Location: http://$host$uri/$extra");
        exit;
    } else { ?>
        <form action='' method='post'>
        <b>Login:</b><br>
        <input type='text' name='login' style='width:200px;'><br>
        <b>Passwort:</b><br>
        <input type='password' name='passwort' style='width:200px;'><br>
        <input type='submit' name='ok' value='Einloggen'>
        </form> <?php
    }
}
else {
    if(time() - $_SESSION['time'] > 1800) {
        session_destroy();
        $host  = $_SERVER['HTTP_HOST'];
        $uri   = rtrim(dirname($_SERVER['PHP_SELF']), '/\\');
        $extra = "admin.php";
        header("Location: http://$host$uri/$extra");
        exit;
    }
    else {
        $_SESSION['time'] = time();
    }
    // Interner Bereich
}

Zitat von Afrael

Eine Javascript-Funktion schreiben, die bei onchange und onkeyup (und evtl noch bei ein paar anderen) ausgelöst wird und mit regulären Ausdrücken arbeitet. Regulären Ausdruck für Datetime müsste es im Internet geben.

Da er vermutlich mit dem neuen Wert in irgendeiner Form weiterarbeiten will sollte eine Überprüfung mit JavaScript nur eine Ergänzung zu einer PHP-Überprüfung bei der Verarbeitung des Formulars sein. Ansonsten braucht ein User nur JavaScript deaktiviert haben und schon können falsche Daten durchkommen.

Zitat von driver

zudem... sollte es nicht lauten insert into ?

Yo stimmt eigentlich. Komisch, dass MySQL erst ab dem WHERE meckert.

So z.B.:

$output = ""==trim($texteingabe) ? "Kein Bericht eingegeben." : $texteingabe;
echo $output;

Wie Afrael schreibt, UPDATE und nicht INSERT.
INSERT fügt einen neuen Datensatz ein, da gibt es keine WHERE-Klausel.

Ergänzend zu dem guten Beitrag von The_User noch ein pragmatischerer Punkt:

Übersichtlichkeit und schnellere/leichtere Erweiterbarkeit deines Codes

Lass dir das von jemand gesagt sein der ein halbwegs komplexes Social Network prozedural runtergeschrieben hat.
Beim erstmaligen coden ist das noch kein größeres Problem. Aber wenn es dann später zu Anpassungen und Erweiterungen kommt macht das wirklich keinen Spaß.

Ein weiterer eher pragmatischer Grund ist der eigene Namensraum für Variablen (bzw. Eigenschaften) innerhalb von Klassen.

Erstmal, warum soll ich nicht SELECT * schreiben:
http://php-faq.de/q-sql-select.html

Dann auf jedenfall wie crazywulf schreibt mittels mysql COUNT() zählen.
Und COUNT ist dann wiederum mit COUNT(*) schneller, als wenn man ein bestimmtes Feld angibt.

Ja, eine js-Überprüfung sollte eine PHP-Überprüfung nur ergänzen und nicht ersetzen.
Wenn es wirklich nur Ziffern sein sollen würde ich aber noch eher ctype_digit() nehmen. is_numeric() lässt ja noch paar andere Zeichen zu.

Hab mal für andere objektorientierte Erweiterung gevoted, ist ja mit prepared statements etc. schon bissl anders als normale mysql-Funktionen.

mysqli (objektorientiert)

Zitat von Darkxor

Hilft mir nur auch nicht, da ich nun nur noch sehe:

Code

[FONT=Tahoma][COLOR=#4b4b4b]You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%hallo% AND Gekauft = '1'' at line 1[/COLOR][/FONT]

Sag mal... natürlich hilft dir das, wenn du auch mal versuchst die Fehlermeldung zu verstehen statt sie nur hier reinzukopieren.
Zaunpfahl: Grundkenntnisse Mysql.
Um Strings gehören Hochkommata:
LIKE '%hallo%'
und nicht wie du es hast LIKE %hallo%

Lass ihn halt warten bis ihm das erste mal nen '); drop database eingeschleust wird

http://my.phpkit.de/?path=forumsin…foid=3&catid=58
Da lese ich nur, dass der eMail-Support ausschließlich für Lizenznehmer gedacht ist.
Das Forum ist laut diesem Thread ausdrücklich auch für Interessenten gedacht. Darunter fällst du ja.
Es würde auch von ziemlicher Geschäftsuntüchtigkeit der Betreiber zeugen, wenn sie Interessenten vergraulen. Die Katze im Sack kauft ja niemand.

Ich für meinen Teil habe das PHPKit noch nie benutzt, keine Ahnung wie es mit anderen hier aussieht.
Ich würde es mal im Supportforum für phpkit versuchen, da kann dir sicher eher jemand helfen:
http://my.phpkit.de/?path=start.php

Du setzt in der objektorientierung in php5 eigentlich kein var davor, sondern private, protected oder public, genau wie auch bei den Funktionen einer Klasse.
Private heißt die Variable/Funktion ist nur innerhalb der eigenen Klasse verfügbar.
Protected heißt die Variable/Funktion ist nur in der eigenen Klasse und in Mutter-/Tochter-Klassen verfügbar.
Public heißt die Variable/Funktion ist auch außerhalb der Klasse verfügbar (natürlich mit Referenzierung auf das entsprechende Objekt).

z.B.

class auto {
    private $kmh;
    ...
    public getZeit($entfernung) {
        ...
    }
}

Das ist komisch.
Mit meinem geposteten Script kriege ich bei allen 4 Funktionen immer das richtige Ergebnis, auch bei 4 Tagen.
Da ist das Ergebnis überall der 20.04. was auch korrekt ist, da ich als Startdatum ja fix den 14.04. habe und nicht das heutige Datum.