SQL Code richtig?

Hier ist PHP Code, den ich geschrieben hab:

$connection = new mysqli("localhost", "...", "...", "...");
$username = $_POST['username'];
$email = $_POST['email'];
$password = $_POST['password'];
$time = time();
$sql = "INSERT INTO User (Name, Email, Password, Created) VALUES ($username, $email, $password, $time)";
$connection->query($sql);
$connection->close();

Aber der sagt dann dass im SQL Code

$sql = "INSERT INTO User (Name, Email, Password, Created) VALUES ($username, $email, $password, $time)";

Ein Syntax Fehler ist.

Wo ist der Fehler?

ZaoDaDong

02.12.2022, 12:48

Was für ein Fehler wird denn geworfen? Ein SQL-Error oder ein PHP Fehler?

raleD

Fragesteller

02.12.2022, 13:30

SQL

ZaoDaDong

02.12.2022, 13:31

In dem Fall ist die query falsch formuliert. Die Antwort von Functional sollte es lösen.

raleD

Fragesteller

02.12.2022, 13:34

Ja, ist gelöst

4 Antworten

Vom Fragesteller als hilfreich ausgezeichnet

dnpdnp2

02.12.2022, 12:54

Die Werte $username, $email usw. müssen in Anführungszeichen gesetzt sein wenn es sich um Strings handelt.

LeBonyt

02.12.2022, 13:22

"INSERT INTO User (Name, Email, Password, Created) VALUES ($username, $email, $password, $time)"
würde so interpreteiert

"INSERT INTO User (Name, Email, Password, Created) VALUES (LeBonyt,lebonyt@gf.net,geht_so_nicht, 12-10-2022)"

Das ist falsch. Daher

"INSERT INTO User (Name, Email, Password, Created) VALUES ('$username','$email', '$password', '$time')"

Da gehört wenigstens eine Verschlüsselung drauf (ideal gesalzen).

Und zwar mindestens md5. 'Profis' dürfen ungehashten Passwörter aus rechtlichen Gründen niemals speichern. Passwörter dürfen nie bekannt sein. Dafür gibt es die Funktion 'Passwort vergessen'. was das alte Passwort überschreibt und durch ein neues ersetzt.

Woher ich das weiß:Berufserfahrung – Web Developer bei einem mittelständischen Portalbetreiber

Functional

02.12.2022, 13:19

Die ganzen Werte, die in VALUES (...) stehen, gehören in Anführungszeichen, da es sich wohl um Strings handelt:

$sql = "INSERT INTO User (Name, Email, Password, Created) VALUES ('$username', '$email', '$password', '$time')";

Allerdings hast du hier zwei ziemlich kritische Sicherheitsprobleme:

Wenn jemand als Benutzername nun das Folgende eingibt:

'); DELETE FROM User; --

Werden - je nach Datenbankkonfiguration - potentiell alle Benutzer gelöscht. Oder wenn jemand das hier eingibt:

'); UPDATE User SET Password='123'; --

Wird das Passwort aller Nutzer in "123" geändert. Womit wir zum zweiten Problem kommen: Deine Passwörter sind offensichtlich nicht verschlüsselt. Zusammen mit der SQL Injection ergibt das ein fantastisches Rezept für ein riesiges Desaster.

Du solltest die Passwörter also verschlüsseln, bevor du sie in die Datenbank packst, z.B. mit bcrypt und für die SQL-Queries Prepared Statements verwenden.

raleD

Fragesteller

02.12.2022, 13:29

Danke

Babelfish

02.12.2022, 13:37

Alles richtig, bis auf „verschlüsseln“. Passwörter werden nicht verschlüsselt. Stattdessen wird ein Passwort-Hash gespeichert.

Das meinst du sicherlich auch und bcrypt ist auch absolut richtig. Wenn du aber von Verschlüsselung redest, erwartet der Fragesteller auch, dass man die Passwörter wieder entschlüsseln kann, was eben nicht der Fall ist.

Functional

02.12.2022, 13:52

@Babelfish

Stimmt, "verschlüsseln" ist da natürlich das falsche Wort.

Xandros0506

02.12.2022, 12:56

SQL und Feldnamen wie "Name" sollte man möglichst vermeiden. Das geht selten gut. (Ist aber hier nicht der Fehler!)

Unabhängig vom Syntaxfehler, der bereits von dnpdnp2 beschrieben wurde: Du wirst doch wohl keine Passwörter im Klartext in der Datenbank speichern wollen?

Da gehört wenigstens eine Verschlüsselung drauf (ideal gesalzen).

Ähnliche Fragen

Mehrere INSERT INTO hintereinander?

Hallo, ich habe das Problem, dass ich Datensätze in zwei Tabellen gleichzeitig eintragen muss, jedoch funktioniert dies nicht und es wird nichts eingetragen. Ich habe schon vieles ausprobiert z.B. die Statements durch Semikolon oder Kommata zu trennen oder sie einfach so stehen lassen.

Hier mein Code:

   $user_type = e($_POST['user_type']);
     $query = "INSERT INTO tlogin (Login, Status, Passwort, Name) 
VALUES('$username', '$user_type', '$password', '$name')
               INSERT INTO tkunde (Name1)
               VALUES('$vorname')";
     mysqli_query($db, $query);
     $_SESSION['success']  = "New user successfully created!!";
     header('location: home.php');
 }else{
     $query = "INSERT INTO tlogin (Login, Status, Passwort, Name)
VALUES('$username', 'user', '$password', '$name')
               INSERT INTO tkunde (Name1)
               VALUES('$vorname')";
     mysqli_query($db, $query);

Danke schonmal für die Hilfe ^^

...zur Frage

Ist dieser Code Safe?

Hallo, ich programmiere derzeit ein Login System in Unity mit PHP wollte fragen ob der Code Safe ist LG

    $email = $_POST["email"];
    $password = $_POST["password"];


    // Daten aus der Datenbank abrufen
    $sql = "SELECT * FROM users WHERE email = '$email'";
    $result = $conn->query($sql);


    if ($result->num_rows > 0) {


        $row = $result->fetch_assoc();


        $hashedPassword = $row["password"];
        
        if (password_verify($password, $hashedPassword)) {
            $errors[] = "0"; // Erfolgscode für erfolgreichen Login
        } else {
            $errors[] = "401"; // Fehlercode für ungültige Anmeldeinformationen
        }
    }else{
        $errors[] = "303";
    }

...zur Frage

Wie kann ich den String hashen?

Ich code derzeit was in Java. Ich bekomme das Password als String vom User und hätte vorgehabt das bei der Registrierung dann mit diesem SQL command zu speichern:

String command = "INSERT INTO userdata(username, password)VALUES ('" + username + "', 'HASHBYTES('SHA2_256', "+user_password+")')";

Vorerst mal, Stimmt das so? Kann das funktionieren? Direkt in Java will ich den hash nicht generieren weil mir das unnötig aufwendig vorkommt.

Beim login habe ich vor den (schon gehashten) String des echten passwords mit dem hash der usereingabe des login passwords zu vergleichen. Doch wie mach ich das in SQL? Dass ich keine Daten in die Tabelle schreibe sondern nur verhashen lasse und dann den hash direkt zurückbekomme..

Vielen Dank im Voraus!

...zur Frage

Javascript Ajax Php kein Wert?

Console:

HTML javascript Code ajax:

function send(text){
   console.log("Text kurz vor versenden:\n" +text);
//hier hat er noch einen wert
   $.ajax({
     method: "POST",
     url: "DataSender.php",
     data: { text: text}
   }).done(function( response ) {
       console.log(response);
     console.log("weiterleitung

Php Code Ajax Übertragung wo es nicht geht:

      $text = $_POST['text'];
      $sql = "INSERT INTO `Xss-Data` (`ID`,`DATA`, `created_at`) VALUES (null, '{$text}' , CURRENT_TIMESTAMP)";

      if (empty($text)) {
              //das ist empty!
              echo("Error:\nEs ist leer\nText wäre\n$text");
          } else

Sind die wichtigen Code snippets

Der String hat keinen Wert. Warum? Wie löst man das?

...zur Frage

Zahl mit Arduino an MySQL Datenbank senden?

Moin,

Vielleicht kann mir jemand helfen. Ich will, dass mein Arduino den Wert einer stinknormalen Variable an eine MySQL-Datenbank schickt. Ich bin mehr oder weniger am Verzweifeln, weil mir niemand helfen kann... Es kann doch nicht so schwer sein, ne blöde Zahl irgendwie in Form einer Variable an die Datenbank zu senden...

Ich benutze einen normales Arduino Uno, und ein W5100 ethernet shield

Mein bisheriger Ansatz war so: (Logindaten der Datenbank entfernt)

#include <Ethernet.h>

#include <MySQL_Connection.h>

#include <MySQL_Cursor.h>

byte mac_addr[] = { 0xDE, 0xAD, 0xBE, 0xEF, 0xFE, 0xED };

IPAddress server_addr('localhost');

char user[] = "root";

char password[] = "secret";

// Sample query

char INSERT_SQL[] = "INSERT INTO Test (Sensor) VALUES ('3')";

EthernetClient client;

MySQL_Connection conn((Client *)&client);

void setup() {

Serial.begin(115200);

while (!Serial);

Ethernet.begin(mac_addr);

Serial.println("Connecting...");

if (conn.connect(server_addr, 3306, user, password)) {

delay(1000);

}

else

Serial.println("Connection failed.");

}

void loop() {

delay(2000);

Serial.println("Recording data.");

MySQL_Cursor *cur_mem = new MySQL_Cursor(&conn);

cur_mem->execute(INSERT_SQL);

delete cur_mem;

}

...zur Frage

Warum kann dieser php code keine Verbindung zur Datenbank herstellen?

Ich sitze hier und verzweifle förmlich daran, warum sich die eingegebenen Daten aus:

<!DOCTYPE html>
<html>
  <head>
    <h1>Der Weg ins Paradies</h1>
    <link rel="stylesheet" href="GL.css">
  </head>
    <p>Die Welt dadraußen ist trist, doch <br> sein kein Schaf, sei ein Wolf</p>
    <form method="post" action="Registrierungsseite.php">
      <p><label>Name:<br><input type="text" name="Name"></label></p>
      <p><label>E-Mail:<br><input type="text" name="Mail"></label></p>
      <p><label>Passwort:<br><input type="password" name="Passwort"></label></p>
      <p><label>IBAN:<br><input type="text" name="IBAN"></label></p>
      <p><input type="submit" value="Registrieren"></p>
    </form>
  </body>
</html>

nicht in der MySQL-Datenbank wiederfinden.

Meine PHP-Datei ist diese hier:

<?php
  // Get the form data
  $name = $_POST['name'];
  $email = $_POST['email'];
  $password = $_POST['password'];
  $iban = $_POST['iban'];

  // Connect to the MySQL database
  $db = mysqli_connect("localhost", "root", "", "paradies");

  // Check if the connection was successful
  if (mysqli_connect_errno()) {
    // If the connection failed, display an error message and exit
    echo "Failed to connect to MySQL: " . mysqli_connect_error();
    exit;
  }

  // Insert the form data into the MySQL database
  $query = "INSERT INTO paradies (name, email, password,iban) VALUES ('$name', '$email', '$password', '$iban')";

  if (mysqli_query($db, $query)) {
    // If the insert was successful, redirect the user to the login page
    header("Location: GL.php");
    exit;
  }
  else {
    // If the insert failed, display an error message
    echo "Error: " . $query . "<br>" . mysqli_error($db);
  }

  // Close the MySQL connection
  mysqli_close($db);
?>

Ich sehe den Fehler einfach nicht, da sobald man die Daten absendet, es zwar zur PHP-Datei weitergeleitet wird, dann jedoch lediglich der Code zu sehen ist. Die Datenbank hat dann natürlich auch keinen Eintrag.

Danke im Voraus.

...zur Frage

SQL Injektion und Cross Site Scripting verhindern?

Wie würde ich das hier in sicher machen ?

Es ist der Php Code von einem Unsicheren Chat aber es geht mir um XSS oder SQL Injectons, nicht um Verschlüsselungen etc.

<?php
    $host = 'localhost';
    $user = 'root';
    $pw = '';
    $database = 'Chat';
$db = mysqli_connect($host, $user, $pw, $database);

if ($db) {
} else {
    exit("Error" . mysqli_connect_error());
}
if (isset($_GET['message']) && $_GET["message"] != "") {
    $username = "Alice";
    $message = $_GET['message'];
    $sql_insert = 'INSERT INTO messages SET
                  user = "' . $username . '",
                  message = "' . $message . '"';
    $sql = "SELECT * FROM messages";
    $res =  $db->query($sql);
    $insert = mysqli_query($db, $sql_insert);
    echo "Sucessfull";
}
else {
    echo '<script> alert("Bitte Trage etwas ein")';
}

...zur Frage

SQL-Datenbank Werte hintereinander einfügen?

Wenn ich in eine SQL-Datenbank zuerst einen Wert für Spalte 1 einfüge, und dann einen für Spalte 2, ist der Wert für Spalte 2 in der 2. Reihe. Kann man irgendwie einstellen das, wenn die Spalte in den Zeilen vorher nicht festgelegt wurde, der Wert nach oben eingefügt wird?

Code:

INSERT INTO `Tabelle1` (`Spalte 2`) VALUES (1)
INSERT INTO `Tabelle1` (`Spalte 1`, `Spalte 2`) VALUES (2, 3)

Ergebnis soll so aussehen:

Bitte keine Antworten wie: "Füge es doch gleich so ein."

Danke.

...zur Frage

warum kann ich nicht $_POST in einen Sql befehl schreiben?

$sql = "INSERT INTO User (Vorname,Nachname,Age) VALUES ("$_POST['vorname'], $_POST['nachname'], $_POST['age']") ;

Gibt bei mir immer einen fehler aber wenn ich es mit

echo $_POST['vorname'];

ausgeben funktioniert es, nur halt nicht in die sql datenbank.

parse error syntax unexpected $_post (t variable) in …. on line …

(mein Html Form sollte kein Fehler haben sonst würde ja echo nicht funktionieren)

<form action="test.php" method="post"> 
<input type="text" name="vorname"> <input type="text" name="nachname"><input type="text" name="age">
<input type="submit"> 
</form>

was genau muss ich jetzt machen ? Das $_Post umwandeln in irgendwas ? habe was auf stackoverflow mit implode() gelesen aber hat nicht funktioniert, vielleicht habe ich es falsch benutzt.

...zur Frage

PHP/MySql wie überprüfen ob Nutzername bereits vergeben?

Wie würde ich das hier am besten mit einer If-Abfrage überprüfen bevor es etwas in die SQL Datenbank schreibt ?

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestDatenbank';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

// POST wird mit AJAX gesendet
   $username = htmlspecialchars(stripslashes((trim($_POST["username"])))) ;
   $password =  password_hash(htmlspecialchars(stripslashes((trim($_POST["password"])))) ,PASSWORD_DEFAULT) ;
   $cash =     100;

// Schreibt in die Datenbank

   $sql = "INSERT INTO user (username,password,cash) VALUES (:username,:password,:cash) ";
   $sqlvars = array("username"  => $username,
   "password" => $password,
   "cash" => $cash);
   $Abfrage = $conn->prepare($sql);
   $Abfrage->execute($sqlvars);


}catch (PDOException $e) {
  print "Error!: " . $e->getMessage() . "<br/>";
  exit;
}

...zur Frage

In PHP SQL aus Variable ausführen?

Ich habe in PHP eine Variable $inhalt erstellt und möchte den Inhalt der Variable gerne als SQL in einer Datenbank ausführen.

$dblink = new PDO('mysql:host=HOST;dbname=NAME', 'BENUTZERNAME', 'PASSWORT');
$inhalt = 'INSERT INTO `testTabelle`(`inhalt1`, `inhalt2`) VALUES(10, 1)';
$dblink->query($inhalt)

Allerdings passiert nichts.

Hoffe Auf Hilfe,
Bohne47

...zur Frage

$servername bei Domainfactory findex?

Hallo,

ich brauche um eine Verbindung mit der Datenbank(sql) $servername, $username und $password. $username und $password habe ich bereits jedoch scheitert es bei dem $servername.

Kann mir jemand helfen wo ich den bei Domainfactory finden kann ?

Mfg

...zur Frage

PHP MySql Login / Passwort überprüfung?

Kann mir da jemand sagen wo der Fehler liegt ? Ich bin da am verzweifeln.

Login, Registrierung, Fehlermeldung, SQL Struktur habe ich alles in die Frage gepackt damit ihr einen besseren überblick habt.

login.php:

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestApp';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

    $username = htmlspecialchars(stripslashes(trim($_POST['username'])));
    $password = htmlspecialchars(stripslashes(trim($_POST['password'])));

    $statement = $pdo->prepare("SELECT * FROM user WHERE username = :username");
    $result = $statement->execute(array('username' => $username
                                    ));
    $user = $statement->fetch();
    //Überprüfung des Passworts
    if ($user !== false && password_verify($username, $password['passwort'])) {
        $_SESSION['userid'] = $user['id'];
        die('Login erfolgreich. Weiter zu <a href="geheim.php">internen Bereich</a>');
    } else {
        $errorMessage = "Nutzername oder Passwort war ungültig<br>";
    }

}catch (PDOException $e) {
    print "Error!: " . $e->getMessage() ;
    exit;
  }

Konsole :

<br />
<b>Warning</b>: Undefined variable $pdo in <b>C:\xampp\htdocs\Test\assets\php\login.php</b> on line <b>14</b><br />
<br />
<b>Fatal error</b>: Uncaught Error: Call to a member function prepare() on null in C:\xampp\htdocs\Test\assets\php\login.php:14
Stack trace:
#0 {main}
 thrown in <b>C:\xampp\htdocs\Test\assets\php\login.php</b> on line <b>14</b><br />

register.php

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestApp';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

// POST wird mit AJAX gesendet
   $username = htmlspecialchars(stripslashes((trim($_POST["username"])))) ;
   $password =  password_hash(htmlspecialchars(stripslashes((trim($_POST["password"])))) ,PASSWORD_DEFAULT) ;
   $cash =     100;

// Schreibt in die Datenbank

   $sql = "INSERT INTO user (username,password,cash) VALUES (:username,:password,:cash) ";
   $sqlvars = array("username"  => $username,
   "password" => $password,
   "cash" => $cash);
   $Abfrage = $conn->prepare($sql);
   $Abfrage->execute($sqlvars);


}catch (PDOException $e) {
  print "Error!: " . $e->getMessage() . "<br/>";
  exit;
}

SQL STRUKTUR :

Datenbankname : Test

Tabelle : user , 5 Spalten/Rows

id | int , (auto increment)
username | varchar , (unique)
password | varchar, (gehasht mit salt sha512)
cash | varchar
time | datetime, (mit current time stamp)

und ich mache alles mit AJAX.

-PDO statt mysqli

...zur Frage

SQL MAX() - Fehler?

Hallo,

ich habe ein Problem mit meiner SQL Abfrage.

Die Tabelle:

Der Befehl:

INSERT INTO excel (titel, vorherige) VALUES ('allo', (SELECT titel from excel where (SELECT max(id) from excel)));

Ich möchte immer, wenn ich den Befehl ausführe in der Spalte 'vorherige' den Titel des vorherigen Datensatzes stehen haben. Was ist damit falsch?

Ich habe es jetzt schon öfter probiert - es kommt auch kein Fehler!

Danke im voraus.

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen