PHP / MySQL - Seite 2

delphirocks · 12.12.2006, 00:05

Sicherer wäre z.B., die neue mysqli Erweiterung zu verwenden.

Also anstatt

PHP-Code:


			
$select_inhalt = "SELECT Inhalt, Autor, Datum, Titel FROM news WHERE id = ".$upid;

lieber

PHP-Code:


			
$query = $mysqli->prepare( "SELECT Inhalt, Autor, Datum, Titel FROM news WHERE id = ?" );

$query->bind_param( 'i',  $upid ); // i für integer

$query->execute( );

Ist zwar lästig, dafür ist man auf der sicheren Seite. Es gibt auch noch ein paar andere Möglichkeiten, um SQL-Injections zu vermeiden, aber Parameter zu verwenden ist (bei anderen Sprachen zumindest) denke ich die gängigste Methode.

Artikel

Nettes Youtube Video eines Live-"hacks":

SQL-Injection

void · 12.12.2006, 00:27

aaaaaaaalles klar =)

void · 12.12.2006, 00:32

Zitat:

Original geschrieben von delphirocks
Nettes Youtube Video eines Live-"hacks":

SQL-Injection

hmmm, aber um JS zu deaktivieren brauche ich nicht mehr den quellcode editieren *lol*

Blauer Kuckuck · 12.12.2006, 12:42

Hi,

vielen Dank erstmal für eure Vorschläge

ich hab alles ausprobiert-

Der Quelltext sieht momentan so aus:

PHP-Code:


			
<?php

  

  include "config.php";

  

  

  $autor = $_POST["autor"];

  $inhalt = $_POST["inhalt"];

  $titel = $_POST["titel"];

  $upid = $_POST["upid"];

  

  @mysql_connect(MYSQL_HOST, MYSQL_USER, MYSQL_PASS) OR die (mysql_error());

  mysql_select_db(MYSQL_DATABASE) OR die (mysql_error());

  



  

  

  $result = mysql_query("

              UPDATE

                news

              SET

                Autor = 'addslashes($autor).',

                Datum = NOW(),

                Inhalt = '.addslashes($titel).',

                Titel = '.addslashes($titel).'

              WHERE

                ID = '.intval($upid).' LIMIT 1");

  

  

                  

  If (!$result) {

      die(mysql_error());

  } else {

      echo "Done.";

  }

  

?>

Beim Aufruf der Datei (Ich versuche, einen Newseintrag zu ändern), kommt keine Fehlermeldung mehr, sondern die selbst einprogrammierte Meldung "Done."

Leider ist der Eintrag nicht verändert worden.

Kann jemand den Fehler entdecken?

thx im Voraus,

Kuckuck

Blauer Kuckuck · 12.12.2006, 12:42

Hi,

vielen Dank erstmal für eure Vorschläge

ich hab alles ausprobiert-

Der Quelltext sieht momentan so aus:

PHP-Code:


			
<?php

  

  include "config.php";

  

  

  $autor = $_POST["autor"];

  $inhalt = $_POST["inhalt"];

  $titel = $_POST["titel"];

  $upid = $_POST["upid"];

  

  @mysql_connect(MYSQL_HOST, MYSQL_USER, MYSQL_PASS) OR die (mysql_error());

  mysql_select_db(MYSQL_DATABASE) OR die (mysql_error());

  



  

  

  $result = mysql_query("

              UPDATE

                news

              SET

                Autor = 'addslashes($autor).',

                Datum = NOW(),

                Inhalt = '.addslashes($titel).',

                Titel = '.addslashes($titel).'

              WHERE

                ID = '.intval($upid).' LIMIT 1");

  

  

                  

  If (!$result) {

      die(mysql_error());

  } else {

      echo "Done.";

  }

  

?>

Beim Aufruf der Datei (Ich versuche, einen Newseintrag zu ändern), kommt keine Fehlermeldung mehr, sondern die selbst einprogrammierte Meldung "Done."

Leider ist der Eintrag nicht verändert worden.

Kann jemand den Fehler entdecken?

thx im Voraus,

Kuckuck

Philipp · 12.12.2006, 12:47

So wird das nicht funktionieren:

PHP-Code:


			
$result = mysql_query(" 

              UPDATE 

                news 

              SET 

                Autor = 'addslashes($autor).', 

                Datum = NOW(), 

                Inhalt = '.addslashes($titel).', 

                Titel = '.addslashes($titel).' 

              WHERE 

                ID = '.intval($upid).' LIMIT 1");

Das ganze sollte eher so aussehen:

PHP-Code:


			
$result = mysql_query(" 

              UPDATE 

                news 

              SET 

                Autor = '".addslashes($autor)."', 

                Datum = NOW(), 

                Inhalt = '".addslashes($inhalt)."', 

                Titel = '".addslashes($titel)."' 

              WHERE 

                ID = '".intval($upid)."' LIMIT 1");

Blauer Kuckuck · 12.12.2006, 12:56

Hi,

@Philipp:

Danke für deine Mühe...

Also,

mit meinem Code hats doch funktioniert.

Zitat:

Datei update.php

PHP-Code:


			
          echo "

                <html><head><title>News ändern</title></head><body><form action=\"updater.php\" method=\"POST\">

                <input disabled name=\"upid\" type=\"text\" size=\"5\" value=\"".$upid."\">


                <input name=\"autor\" type=\"text\" size=\"20\" value=\"".$row['Autor']."\">


                <input name=\"titel\" type=\"text\" size=\"20\" value=\"".$row['Titel']."\">


                <textarea name=\"inhalt\" cols=\"40\" rows=\"20\">".$row['Inhalt']."</textarea>



                <input type=\"submit\" value=\"OK\">

                </form></body></html>";

Da habe ich das disabled weggelassen. Anscheinend wurde das nicht mit dem restlichen Formular zu "updater.php" weggeschickt.

Rausbekommen hab ichs, indem ich ganz oben error_reporting auf E_ALL gestellt habe, und prompt kam die Ausgabe "Undefinied Index" ...

THX trotzdem...

Kuckuck

12.12.2006, 00:05	#11
delphirocks bitte Mailadresse prüfen! Registriert seit: 17.03.2002 Beiträge: 198	Sicherer wäre z.B., die neue mysqli Erweiterung zu verwenden. Also anstatt PHP-Code: `$select_inhalt = "SELECT Inhalt, Autor, Datum, Titel FROM news WHERE id = ".$upid;` lieber PHP-Code: `$query = $mysqli->prepare( "SELECT Inhalt, Autor, Datum, Titel FROM news WHERE id = ?" ); $query->bind_param( 'i', $upid ); // i für integer $query->execute( );` Ist zwar lästig, dafür ist man auf der sicheren Seite. Es gibt auch noch ein paar andere Möglichkeiten, um SQL-Injections zu vermeiden, aber Parameter zu verwenden ist (bei anderen Sprachen zumindest) denke ich die gängigste Methode. Artikel Nettes Youtube Video eines Live-"hacks": SQL-Injection

12.12.2006, 00:27	#12
void Hero Registriert seit: 26.07.2001 Ort: Wien Beiträge: 811	aaaaaaaalles klar =) ____________________________________ nobody is perfect

12.12.2006, 12:47	#16
Philipp verXENt Registriert seit: 01.08.1999 Beiträge: 7.084 Mein Computer	So wird das nicht funktionieren: PHP-Code: `$result = mysql_query(" UPDATE news SET Autor = 'addslashes($autor).', Datum = NOW(), Inhalt = '.addslashes($titel).', Titel = '.addslashes($titel).' WHERE ID = '.intval($upid).' LIMIT 1");` Das ganze sollte eher so aussehen: PHP-Code: $result = mysql_query(" UPDATE news SET Autor = '".addslashes($autor)."', Datum = NOW(), Inhalt = '".addslashes($inhalt)."', Titel = '".addslashes($titel)."' WHERE ID = '".intval($upid)."' LIMIT 1");

12.12.2006, 12:42	#14
Blauer Kuckuck Veteran Registriert seit: 21.02.2006 Beiträge: 321	Hi, vielen Dank erstmal für eure Vorschläge ich hab alles ausprobiert- Der Quelltext sieht momentan so aus: PHP-Code: <?php include "config.php"; $autor = $_POST["autor"]; $inhalt = $_POST["inhalt"]; $titel = $_POST["titel"]; $upid = $_POST["upid"]; @mysql_connect(MYSQL_HOST, MYSQL_USER, MYSQL_PASS) OR die (mysql_error()); mysql_select_db(MYSQL_DATABASE) OR die (mysql_error()); $result = mysql_query(" UPDATE news SET Autor = 'addslashes($autor).', Datum = NOW(), Inhalt = '.addslashes($titel).', Titel = '.addslashes($titel).' WHERE ID = '.intval($upid).' LIMIT 1"); If (!$result) { die(mysql_error()); } else { echo "Done."; } ?> Beim Aufruf der Datei (Ich versuche, einen Newseintrag zu ändern), kommt keine Fehlermeldung mehr, sondern die selbst einprogrammierte Meldung "Done." Leider ist der Eintrag nicht verändert worden. Kann jemand den Fehler entdecken? thx im Voraus, Kuckuck

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)