MySQL

steve46 · 19.04.2009

Halllo!!!

Also ich hab ein kleines Formular erstellt mit dem Namen formular.html

HTML:

<form action="login.php" method="post">
Benutzername:<br>
<input type="text" name="user">
<br>
Passwort:<br> 
<input type="password" name="pass">
<br>
<input type="submit" value="Login">
</form>

Beispiel:
Ich gebe ein.

Username: steve46
Passwort: ---------
__________________
Wenn der Username und das Passwort mit der Datenbank identisch sind soll er auf die nächste Seiten kommen. Wenn nicht dann eine Fehlermeldung.

Lg steve46

Lambo-Benni · 19.04.2009

if ($password == 'select Pw from User where Username='$username') {nächste Seite};

futtlui · 19.04.2009

Ich nehm mal an das soll der 2. Anlauf sein, nachdem Dir die Antworten im letzten thread nicht genügt haben.
Nur user/passwort mit der Datenbank zu vergleichen reicht ja wohl nicht, weil die Zielseite (für die man sich einloggen soll) ja auch gegen Direktaufrufe nicht eingeloggter User geschützt werden muss. Insofern bringt das mit Deinem hübschen Formular erstmal herzlich wenig.

Da Du anscheinend wirklich nicht in der Lage bist (oder keine Lust hast?), die Boardsuche bzw. Google zu verwenden, hier drei Tutorials, die Dir weiterhelfen sollten:
http://www.php-resource.de/tutorials/read/38/1/
http://www.php-resource.de/tutorials/read/44/1/
http://www.evocomp.de/tutorials/tutorium_php_mysql/howto_php_mysql_tutorial.html

kleiner Tipp noch: durchlesen und verstehen musst Du schon selbst

Sady · 24.04.2009

Naja, das 1. Tutorial ist wirklich Mist. Sowas sollte man sich lieber nicht angewöhnen:

Zitat:

Code:

function check_user($name, $pass)
{
    $sql="SELECT UserId
    FROM users
    WHERE UserName='".$name."' AND UserPass=MD5('".$pass."')
    LIMIT 1";
    $result= mysql_query($sql) or die(mysql_error());
    if ( mysql_num_rows($result)==1)
    {
        $user=mysql_fetch_assoc($result);
        return $user['UserId'];
    }
    else
        return false;
}

Was wohl passiert wenn ich als Username

Code:

' OR 1=1 LIMIT 1#

eingebe?
:hal:

futtlui · 24.04.2009

Sady schrieb:
Naja, das 1. Tutorial ist wirklich Mist.

nö, es ist eben nur ne Erklärung wie die Funktionsweise so einer Geschichte abläuft. Hat der Autor ja auch geschrieben.

Sady · 24.04.2009

Ja, vom Ablauf her ist es ja auch richtig - nur nicht gut durchdacht. Ich persönlich hätte es schöner gefunden wenn man gerade auf so ein weit verbreitetes Sicherheitsproblem eingegangen wäre und gerade PHP Neulingen sofort den richtigen Weg zeigt. Das ist mein Anspruch an ein gutes Tutorial - es richtig zu lernen. Ich will gar nicht wissen wie oft da schon Copy/Paste vorgekommen ist

DanielxK48x · 04.06.2009

Ich werd mal etwas genauer:
Usereingaben, die als Abfrage im Query für die DB landen IMMER!!! mindestens mit mysql_real_escape_string einbinden!
Ein ordentliches Validieren der Eingabe vorher macht die Sache natürlich noch sicherer.
Und immer im Sinne einer Whitelist - also nur Zeichen zulassen, die man vorgibt.
Eine Blacklist wäre dann der umgekehrte Fall - man gibt Zeichen an, die der User nicht verwenden darf, dadurch steigt aber das Risiko, dass man verschiedenen Sachen schlicht weg vergisst.
Also immer eine Whitelist basteln!

steve46 · 29.06.2009

Hallo meld mich wieder

Also folgendes Problem:

PHP:

<?php
$db = mysql_connect("server", "user", "pass");
$d1 = mysql_select_db("save");
$m = $_POST["Zufallszahl_Mathe"];
$e = $_POST["Zufallszahl_Englisch"];
$d = $_POST["Zufallszahl_Deutsch"];
$i = $_POST["Zufallszahl_Info"];
$g = $_POST["Zufallszahl_Geschichte"];
$gw = $_POST["Zufallszahl_Geo"];
$b = $_POST["Zufallszhal_Bio"];
$result = $m+$e+$d+$i+$g+$gw+$b;
$send = mysql_query($result);
while ($row = mysql_fetch_array($result)) 
{
print "$row->wissen";
}
?>

Dieser Code soll dazu da dienen das die Post Abfragen alle miteinander addiert werden mit dem Query and die Datenbank geschickt werden und wieder ausgegeben werden.

lg steve46

fox99 · 29.06.2009

steve46, stell dir mal vor, du bist die datenbank...

17933

du weißt auch nicht, was das soll? gut, die db auch nicht. schau dir am besten die datenbanksprache sql an oder such dir ein paar tutorials zu php und mysql.

steve46 · 29.06.2009

ja und

futtlui · 29.06.2009

ja und ja und ja und!!!!!!!!!!!!!!
Was schickst Du denn an die Datenbank, hä? Und wo soll denn auf einmal $row her?

Alternativ vielleicht mal Spoiler anklicken, nachdenken, handeln und keine unnötigen 2-Wort-Beiträge posten!!!!!!!

Langsam geht's mir auf den Sack.

steve46 · 30.06.2009

Ich bekomm immer wieder folgende Fehlermeldung:

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /users/steve46/www/play.php on line 25

futtlui · 30.06.2009

ja, und das ist auch vollkommen klar, wenn Du die oben genannten Punkte nicht beachtest und/oder es einfach nicht kapieren willst.
Selbst Schuld.

Hier ist dann wohl alles gesagt, weiterhin viel Erfolg. :wah:

//CLOSED

MySQL

steve46

Lambo-Benni

futtlui

Sady

futtlui

Sady

DanielxK48x

steve46

fox99

steve46

futtlui

steve46

futtlui

MySQL

ANGEBOTE & SPONSOREN

Neueste Beiträge

Statistik des Forums