Mysql UPDATE syntax in Php Datei
-
Hallo,
so schnell geht es schief
ein kleiner fehler riesen auswirkung ja das habe ich komplett übersehen danke!
es funktioniert jetzt endlich richtig!
-
Hallo,
noch 2 Anmerkungen.
1. PHP-Kommentare sehen so "//" oder so "/* */" aus, niemals so "<!-- -->". Letzteres ist HTML und würde in deinem Code den Fehler "Parse error: syntax error, unexpected '<' in blabla.php on line x".
2. Wieso machst du in deinem SQL-Statement eine LIKE-Abfrage die am Ende eh nur auf "=" hinausläuft? LIKE ist meines Erachtens nach langsamer als "=".VlG
-
Da LIKE Volltext-Suche ist, ist dies auch wirklich langsamer! Um wie viel kommt darauf an ob das Feld, nach dem gesucht wird, Indexiert ist
Nebenbei zählt die Aussage, ich kümmere mich um SQL-Injection wenn alles fertig ist sowas von überhaupt nicht. Entweder man macht es von Anfang an richtig und maskiert entsprechend mit mysql_real_escape_string() oder man lässt es sein, bzw. vergisst dann den ein oder anderen Parameter oder das ein oder andere Statement zu prüfen.
Dabei auch noch zu erwähnen, wie es dir in jedem guten PHP Forum auch geraten würde: Lass die Finger von der mysql Extension und nutz die mysqli. Diese bietet dir "prepared statements", wodurch man SQL-Injections schon ganz gut verhindern kann. Außerdem wird diese auch noch weiterentwickelt, die normale mysql Extension wird nicht mehr entwickelt und Sicherheitslücken/Fehler, wenn überhaupt nur langsam geschlossen.
-
Hallo,
Also ich gehe Schritt für Schritt vor und da ich die Datein immer errst Lokal teste bevor ich sie irgendwann online setzte baue ich die SQLinjektion immer erst zum Schluss ein aber bevor man sich hier Streitet jeder macht es anders und ich werde zu dem Thema sql injektion nix mehr sagen
mfg
Edit:
und ausserdem wird von dem Benutzer da keine angabe gemacht bei dem UPDATE befehl daher denke ich das ich da keine sql injektion benötige
-
Dazu brauchst du nichts sagen, aber lass dir vielleicht eines gesagt sein:
Mit diesem Verfahren wirst du bei nur etwas komplexeren Skripten und natürlich in jedem halbwegs anspruchsvollen Umfeld gehörig auf die Schnauze fliegen
-
derdefeckter schrieb:
und ausserdem wird von dem Benutzer da keine angabe gemacht bei dem UPDATE befehl daher denke ich das ich da keine sql injektion benötige
Bitte was?
Schau dir deinen Code nochmal an. Wenn du mir dann wirklich sagst, da gäbe es kein Einfallstor, deine komplette Datenbank mit einem Einzeiler zu hacken, dann lies dich dringend noch einmal in die Thematik ein!!!P.s. Aus deiner Artikulation und deiner Verwendung des Begriffs glaube ich inzwischen, dass du überhaupt keine Ahnung hast, was eine SQL Injection überhaupt ist ...
-
Ja das war ein fehler von mir
der username wird da ja verwendet also sql injektion werde ich mich schnell drum kümmern kleine fehler riesen auswirkung
naja wie schon in anderen posts erwähnt ich lasse mich gerne eines besseren belehren! ob ich es dann auch amche ist ne andere sache...
naja danke erstmal
EDIT:
Doch SQLINJEKTION ist mir ein Begriff in früheren Posts wurde ich da auch drauf hingewiesen seitdem verwende ich da fast überall zumindest bei jedem sql befehl
-
Eine SQL-Injection ist der Vorgang, eine Sicherheitslücke in der Datenbankschnittstelle einer Anwendung ausnutzen. Man kann keine "SQL-Injection" haben, benötigen oder verwenden. Man kann eine Sicherheitslücke in seinem Code haben, die zur Möglichkeit führt, eine SQL-Injection am Code vorzunehmen. Und man kann via SQL-Injection fremde Datenbanken manipulieren ("hacken").
Vermutlich meinst du nicht "ich verwende SQL-Injections" sondern "ich escape meine Parameter". Oder so etwas ...
-
Ja so meinte ich es eigentlich also ich habe den code nochmal bearbeitet und sieht jetzt so aus:
$abfrage = "SELECT username, passwort, userlevel FROM login WHERE username LIKE '$username' LIMIT 1", mysql_real_escape_string($username);so ich denke damit sollte es klappen
EDIT:
achso hier auch nochmal:$update = "UPDATE login SET online = '1' WHERE username = '$username'", mysql_real_escape_string($username);
-
Autsch. Das wird vom Interpreter übersetzt? Dieser Komma-Operator war mir noch nie ganz geheuer ...
Das ist so Unsinn, was du machst.
So in etwa muss es richtig heißen:
?php require ('config.php'); error_reporting(E_ALL); $username = $_POST['username'];<!--Hier sagt er mir das er ein fehler hat (at line 5 --> $passwort = md5($_POST['passwort']); $abfrage = "SELECT username, passwort FROM login WHERE username ='".mysql_real_escape_string($username)."' LIMIT 1"; $ergebnis = mysql_query($abfrage); $row = mysql_fetch_array($ergebnis); if($row['passwort'] == $passwort) { $update = "UPDATE login SET online = '1' WHERE username = '".mysql_real_escape_string($username)."'"; mysql_query($update); echo 'klappt!'; } else { echo 'Klappt nicht!'; } ?>
-
okeee also hatte eben noch gegooglet gehabt um mir denn syntax noch mal genau anzugucken und habe dort das gefunden:
[url]
http://www.hpserver.de/php/function.mysql-real-escape-string.html
[/url]
da habe ich mir von beispiel 1 übernommennaja wie gesagt da lasse ich mich gerne des besseren belehren und werde es sofort ändern
-
Im Beispiel wird aber auch sprintf verwendet, um den String zu formatieren! Was du dort siehst ist quasi ein Workaround für Prepared Statements.
Kopiere niemals einfach irgendwelche Mini-Bestandteile aus fremdem Code heraus, wenn du keinen Schimmer hast, wie sie im Kontext funktionieren
-
ja stimmt auch wieder man sollte sich erst alles durchlesen und dann machen/antworten
naja denn werde ich den code mal überarbeiten und danke für die Hilfe die ich anscheind wirklich nötig hatte...