[PHP] Formular versenden UND in Datenbank eintragen?

[Chrisi99]

okeeee, nachdem ich schlecht geschlafen habe hab ich mich gleich in der Früh zusammengerissen und etwas herumgebastelt.

Jetzt bekomme ich immerhin 2 der 4 Variablen in die Datenbank (very strange though...)?

Code:

if (isset($_POST['FName']) && isset($_POST['FAdresse']) && isset($_POST['FMail'])) {
    // Connect

    $link = mysql_connect('localhost', 'user', 'pass');
    
    $select = mysql_select_db('tabelle', $link);

    if(!is_resource($link)) {

        echo "Failed to connect to the server";

    } elseif(!$select) {
        
        echo "Failed to select database";

    } else {
       
        // Reverse magic_quotes_gpc/magic_quotes_sybase effects on those vars if ON.

        if(get_magic_quotes_gpc()) {
            if(ini_get('magic_quotes_sybase')) {
                $name        = str_replace("''", "'", $_POST['FName']);
                $adresse = str_replace("''", "'", $_POST['FAdresse']);
				$mail = str_replace("''", "'", $_POST['FMail']);
				
            } else {
                $name        = stripslashes($_POST['FName']);
                $adresse = stripslashes($_POST['FAdresse']);
				$mail = stripslashes($_POST['FMail']);
				
            }
        } else {
            $name        = $_POST['FName'];
            $adresse = $_POST['FAdresse'];
			$email = $_POST['FMail'];
        }
			$datum=date("d.m.y")
        // Make a safe query
        $query = sprintf("INSERT INTO target (FName, FAdresse, FMail, Datum) VALUES ('%s', '%s', '%s', %d)",
                    mysql_real_escape_string($name, $link),
                    mysql_real_escape_string($adresse, $link),
                    mysql_real_escape_string($email, $link),
					mysql_real_escape_string($datum, $link));

        mysql_query($query, $link);
		
		$result = mysql_query($sql); 
if (!$result) { 
    die('Ungültige Abfrage: ' . mysql_error()); }

        if (mysql_affected_rows($link) > 0) {
            echo "Eintrag erfolgt\n";
        }
    }
} else {
    echo "Bitte kontrolliere deine Einträge\n";
}}
?>

Antwort:

Code:

Ungültige Abfrage: Query was empty

dabei schreibt er "Name" und "Adresse" in die Datenbank, nur Mail und Datum nicht...

falls mir da noch jemand helfen kann bin ich überglücklich

[T.dot]

Hallo,

E-Mail geht vermutlich aus folgendem Grund nicht:
Beim Basteln des sql-Statements verwendest du $email, vorher gibt es aber eine Variable $mail und $email, vermutlich sollten die alle $email heißen.

also die beiden Zeilen ändern:
$mail = str_replace("''", "'", $_POST['FMail']);
$mail = stripslashes($_POST['FMail']);

Das Datum musst du afaik auch unter Hochkomma setzen und als String uebergeben, dh.
$query = sprintf("INSERT INTO target (FName, FAdresse, FMail, Datum) VALUES ('%s', '%s', '%s', '%s')", ......

mfg Thomas

[Chrisi99]

sry, das habe ich schon ausgebessert, mein Fehler, aber er schreibt trotzdem nur 2 Einträge...

Code:

 if(get_magic_quotes_gpc()) {
            if(ini_get('magic_quotes_sybase')) {
                $name        = str_replace("''", "'", $_POST['FName']);
                $adresse = str_replace("''", "'", $_POST['FAdresse']);
				$email = str_replace("''", "'", $_POST['FMail']);
				
            } else {
                $name        = stripslashes($_POST['FName']);
                $adresse = stripslashes($_POST['FAdresse']);
				$email = stripslashes($_POST['FMail']);
				
            }
        } else {
            $name        = $_POST['FName'];
            $adresse = $_POST['FAdresse'];
			$email = $_POST['FMail'];
        }
			$datum=date("d.m.y")
        // Make a safe query
        $query = sprintf("INSERT INTO target (FName, FAdresse, FMail, Datum) VALUES ('%s', '%s', '%s', '%s')",
                    mysql_real_escape_string($name, $link),
                    mysql_real_escape_string($adresse, $link),
                    mysql_real_escape_string($email, $link),
					mysql_real_escape_string($datum, $link));

In der Datenbank habe ich jetzt alle mal auf vchar gestellt, also da kanns eigentlich nicht liegen...

[T.dot]

Lass dir mal $query ausgeben (echo $query; ), dann weißt du zumindest, was er in die DB eintrage will. Du kannst ja statt dem Formularparametern einfach mal:
INSERT INTO target (FName, FAdresse, FMail, Datum) VALUES ('a','b','c','d')
probieren, dann weißt du obs an der Datenbank liegt.

der Fehler "Ungültige Abfrage: Query was empty" liegt daran:
mysql_query($query, $link);
$result = mysql_query($sql);

$sql gibts nicht, daher die Meldung. müsste so aussehen:
$result = mysql_query($query, $link);

[Chrisi99]

abcd funktioniert problemlos... also kriegt er scheinbar fie Variablen FEmail und Datum nicht...

Code:

if(get_magic_quotes_gpc()) {
            if(ini_get('magic_quotes_sybase')) {
                $name = str_replace("''", "'", $_POST['FName']);
                $adresse = str_replace("''", "'", $_POST['FAdresse']);
				$email = str_replace("''", "'", $_POST['FMail']);
				
            } else {
                $name = stripslashes($_POST['FName']);
                $adresse = stripslashes($_POST['FAdresse']);
				$email = stripslashes($_POST['FMail']);
				
            }

ist scheinbar schuld, denn ohne funktioniert es!

aber ich hätte das gerne wegen den Injection-Probleme...

danke für die Hilfe bis jetzt! Alleine verzweifle ich

[void]

mein tipp:
so lästig es sein mag, geh das script schritt für schritt durch und mache vor und nach einer änderung eine ausgabe z.b. mittels dump_var(); - damit siehst du genau, wo der fehler liegt... wenn du also eh schon vermutest, dass der fehler bei dem "injection"-teil liegt, mache genau dort deine ausgaben. somit lässt sich jeder fehler finden

[iG0r]

mysql_real_escape_string gegen mysql_escape_string tauschen, sind ja keine binary datas.

Aber irgendwie schaut mir das alles viel komplizierter aus, als es sein müsste Glaub das Formular müsste mal entwirrt werden.

Wenn du mehrere Schritte machen willst, kannst du die Daten in Cookies, Session oder mit jedem Punkt als Variable im Post mit neu übergeben, einfach als input type="hidden" anlegen. Ich würde aber generell schon zur Sicherheit keine global Var wie $_POST direkt in ein sql-query schreiben.

[reemrev]

Ist das nicht alles zu kompliziert?
Verstehe außerdem nicht ganz die stripslashes, ich meine, gehts nicht auch ohne die vielen ifs?:

$name = mysql_escape_string(striptags($_POST['FName']));
...
...

und danach die 'gesäuberten' Variablen in die DB.

[Chrisi99]

Zitat:

Original geschrieben von iG0r
mysql_real_escape_string gegen mysql_escape_string tauschen, sind ja keine binary datas.

Aber irgendwie schaut mir das alles viel komplizierter aus, als es sein müsste Glaub das Formular müsste mal entwirrt werden.

Wenn du mehrere Schritte machen willst, kannst du die Daten in Cookies, Session oder mit jedem Punkt als Variable im Post mit neu übergeben, einfach als input type="hidden" anlegen. Ich würde aber generell schon zur Sicherheit keine global Var wie $_POST direkt in ein sql-query schreiben.

danke euch! Jetzt geht es.

Beschäftige mich ja nur sporadisch mit PHP, daher auch wenig Plan *g* Den Code hab ich aus meinem Buch zusammengesucht, seltsam, dass die _real_ verwendet haben, in einem fast gleichen Beispiel.

Jetzt läufts und ich bin glücklich *g*

Thx!

[Chrisi99]

ah ganz übersehen

werde versuchen, ob das auch einfacher geht!

danke für den Tipp!

Lg
Christoph