SQL Injektion und Cross Site Scripting verhindern?

hier

so macht man es richtig

<?php
//Datenbank Informationen
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'Test';
//Verbinden mit Datenbank ($server $user $psw $dbName )
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
   // In Datenbank lesen 
   $sql = "SELECT * FROM messages";
   //Prepared Statement
   $Abfrage = $conn->prepare($sql);
   //Abfrage lesen auführen
   $Abfrage -> execute();
   $result = $Abfrage->fetchAll(PDO::FETCH_ASSOC);
   //Antwort von der Datenbank in das Objekt result
   //Nacheinander anzeigen
   foreach ($result as $i) {
      echo "<p class='". $i["user"]."'>".
         $i["message"] ." <br>". 
         $i["date"] .   "</p>";
   }
   // In Datenbank Schreiben
   $username = "Alice";
   $message = $_GET['message'];
   // platzhalter mit doppelpunkt vorran für folgende namen im array , siehe $sqlvars
   $sql = "INSERT INTO messages (user,message) VALUES (:username,:message) ";
   // variablen für platzhalter als array mit "namen" 
   $sqlvars = array("username"  => $username,
                    "message"   => $message );
   //Prepared Statement
   $Abfrage = $conn->prepare($sql);
   //Abfrage Schreiben ausführen , $variablenarray übergeben , maskiert automatisch alle werte .
   $Abfrage->execute($sqlvars);

}catch (PDOException $e) {
  print "Error!: " . $e->getMessage() . "<br/>";
  exit;
}

TechPech1984

11.07.2022, 01:08

zu dein angriffmöglichkeiten gehört natürlich dann das XSS , weil wenn die $message javascript enthält wird das bei anzeige ausgeführt . also muss du noch mal nachgucken im netz wie man sowas entfernt aus der message .

gfdsgsdgsdg

Fragesteller

11.07.2022, 01:14

Danke , Also ist das was du bearbeitet hast dann auch wirklich SQL Injection sicher oder könnte man selbst das noch irgendwie knacken ?

Und für das XSS müsste doch das hier ausreichen ?

echo htmlspecialchars(stripslashes(trial($_[GET["message"])));

Oder ist nur oberflächlich/grob

TechPech1984

11.07.2022, 01:14

ausserdem brauchst du noch session , da du nur message empfangen solltest was auch von deinem php gesendet wurde und nicht irgendwer mit GET an die url hängt . den dann spämmt dich irgendwer voll

also z.b.

in der form.php

<?php
session_start();
$_SESSION["message"] = "ok";
.
.
?>

und in deinem INSERT dann

<?php
session_start();
if (!isset($_SESSION['message'])) {exit;}
.
.
?>

TechPech1984

11.07.2022, 01:19

https://www.php-einfach.de/experte/php-sicherheit/cross-site-scripting-xss-in-php/

echo htmlspecialchars(stripslashes(trial($_[GET["message"])));

ja geht , kannst dir auch eine funktion daraus machen wie hier beschrieben

aber das strip slashes brauchste dann eigentlich nicht mehr .

gfdsgsdgsdg

Fragesteller

11.07.2022, 01:20

Danke aber ich glaube das mit dem spammen über die URL funktioniert hier nicht da ich das mit Ajax mache.

Der vordere Teil sieht so aus, sieht vielleicht für dich ein wenig dumm programmiert (Im Html Dokument mit Script Tags) aus aber das ist kein Ernst gemeintes Projekt und kann man schnell bearbeiten.

<script>
    $('#absendeFormular').submit(function(event){
    event.preventDefault();
    $.ajax({
        type:"GET",
        url:"assets/PHP/sendMessage.php",
        data: $(this).serialize(),
        success: function (data) {
            console.log(data)
          }
    });
    $('#absendeFormular')[0].reset();
    });
    </script>

<script>
 setInterval(() => {
    $(document).ready(function(event){
    $.ajax({
        type:"GET",
        url:"assets/PHP/aktualisieren.php",
        data: $(this).serialize(),
        success: function (data) {
            $('#ChatBereich').html(data)
          }
    });
    });
}, 500);
    </script>

TechPech1984

11.07.2022, 01:22

das ist egal , ich kann ein GET auch selber mit AJAX von irgendwo machen , mach ich mir meine eigene webseite .

solltest eh lieber per POST machen . und wie gesagt , nur das $_SESSION verhindert das andere seiten das ausnutzen .

TechPech1984

11.07.2022, 01:23

deswegen auch deine anderen seiten immer als php mit session_start() damit du weisst welcher user da von deinem server kommt . also auch wenn du dort javascript lädst zum verschicken, wichtig, der user soll schon eine session haben , die wird dann im header mitgeschickt auch beim ajax.

gfdsgsdgsdg

Fragesteller

11.07.2022, 01:24

Achso, dann nehme ich lieber POST.

GET soll ein kleines bisschen Performanter sein und es hat nicht in der URL gestört wie normalerweise deswegen hab ich mich schnell dafür entschieden.

..../&message=......................................

würde nicht schön aussehen

TechPech1984

11.07.2022, 01:25

kannst auch get machen , das ist nicht schlimm , aber halt doof weil alte browser bei urls mit 255 zeichen früher aufgehört haben .

TechPech1984

11.07.2022, 01:28

moment, bei ajax ist get ok , das taucht ja nicht in der history auf .

gfdsgsdgsdg

Fragesteller

11.07.2022, 01:34

echo htmlspecialchars(stripslashes(trial($_[GET["message"])));

Hab mich verschrieben, meinte *trim

ja geht , kannst dir auch eine funktion daraus machen wie hier beschrieben

function xss($string) {
  return htmlspecialchars($string, ENT_QUOTES, 'UTF-8');
}

also so und dann

$message = xss($_POST['message']);

Das ist dann aufjedenfall übersichtlicher

TechPech1984

11.07.2022, 01:41

https://gist.github.com/mbijon/1098477/4e245ab3844ddbd0e7c6f9fdf360501517e121cf

ah wenn du gelesen hast , ist das immer kompliziert wenn man das bei der eingabe schon macht .

bei der ausgabe wäre fast leichter , oder eben einen wirklichen filter bauen .

musst du gucken , den wenn etwas erstmal merkwürdig in einer datenbank steht kann das auch nerfen :) da eben alle zeichen dann umgeformt werden und die daten schlecht anders genutzt werden können .

ggf ein filter bauen der ['message'] mit script tags nicht erlaubt . und dann nur die tags maskieren .

z.b. hier ganz nett gemacht

EinAlexander

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, JavaScript, Programmieren & Softwareentwicklung

10.07.2022, 18:27

SQL Injektion und Cross Site Scripting verhindern?

Verwende PDO mit prepared Statements. Damit bist Du auf der sicheren Seite.

Alex

gfdsgsdgsdg

Fragesteller

11.07.2022, 00:47

Kannst du mir vielleicht sagen welche Angriffsmöglichkeiten du hier hättest ?

Also ich habe dasselbe wie oben mit PDO gemacht und Prepared Statements.

Ein Teil ist um Etwas Auszulesen mit SELECT * FROM ... und der zweite Teil um in die Datenbank einzufügen.

<?php
//Datenbank Informationen
    $server = 'localhost';
    $user = 'root';
    $psw = null;
    $dbName = 'Test';
//Verbinden mit Datenbank ($server $user $psw $dbName )
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.'', $user, $psw);
}catch (PDOException $e) {
   print "Error!: " . $e->getMessage() . "<br/>";
   die();
}




// In Datenbank lesen 
$sql = "SELECT * FROM messages";
//Prepared Statement
$Abfrage = $conn -> prepare($sql);
//Abfrage lesen auführen
$Abfrage -> execute();
$result = $Abfrage -> fetchAll();
//Antwort von der Datenbank in das Objekt result
//Nacheinander anzeigen
foreach ($result as $i) {
    echo "<p class='". $i["user"]."'>".
         $i["message"] ." <br>". 
         $i["date"] .    "</p>";
}




// In Datenbank Schreiben
$username = "Alice";
$message = $_GET['message'];

$sql = 'INSERT INTO messages SET
user = "' . $username . '",
message = "' . $message . '"';
//Prepared Statement
$Abfrage = $conn -> prepare($sql);
//Abfrage Schreiben auführen
$Abfrage -> execute();




//Verbindung mit Datenbank beenden
$conn = null;

EinAlexander

11.07.2022, 09:34

$message = $_GET['message'];

Usereingaben sollten nicht ungefiltert ineinander Datenbank übernommen werden. Besser ist

$message = htmlspecialchars($_GET['message']);

der insert lautet dann

$sql = 'INSERT INTO messages SET
user = :user,
message = :message";

//Prepared Statement
$Abfrage = $conn -> prepare($sql);
//Abfrage Schreiben auführen
$Abfrage -> execute(array(user => $user, message => $message));

gfdsgsdgsdg

Fragesteller

11.07.2022, 13:23

@EinAlexander

Danke, und mehr Schwachstellen fallen dir nicht auf du dir den überarbeiteten Code Anschaust ?

<?php
//Datenbank Informationen
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'Test';
//Verbinden mit Datenbank ($server $user $psw $dbName )
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
   // In Datenbank lesen 
   $sql = "SELECT * FROM messages";
   //Prepared Statement
   $Abfrage = $conn->prepare($sql);
   //Abfrage lesen auführen
   $Abfrage -> execute();
   $result = $Abfrage->fetchAll(PDO::FETCH_ASSOC);
   //Antwort von der Datenbank in das Objekt result
   //Nacheinander anzeigen
   foreach ($result as $i) {
      echo "<p class='". $i["user"]."'>".
         $i["message"] ." <br>". 
         $i["date"] .   "</p>";
   }
   // In Datenbank Schreiben
   $username = "Alice";
//cross site scripting filtern
   $message = htmlspecialchars(stripslashes(trim($_POST['message'])));

   // platzhalter mit doppelpunkt vorran für folgende namen im array , siehe $sqlvars
   $sql = "INSERT INTO messages (user,message) VALUES (:username,:message) ";
   // variablen für platzhalter als array mit "namen" 
   $sqlvars = array("username"  => $username,
                    "message"   => $message );
   //Prepared Statement
   $Abfrage = $conn->prepare($sql);
   //Abfrage Schreiben ausführen , $variablenarray übergeben , maskiert automatisch alle werte .
   $Abfrage->execute($sqlvars);

}catch (PDOException $e) {
  print "Error!: " . $e->getMessage() . "<br/>";
  exit;
}

EinAlexander

11.07.2022, 13:53

mehr Schwachstellen fallen dir nicht auf

Nein.

triopasi

Nutzer, der sehr aktiv auf gutefrage ist

im Thema programmieren

10.07.2022, 17:56

1. Der DB ordentliche Zugangsdaten geben.

2. Wenn möglich keinen root-Zugang benutzen.

3. Prepared Statements für das SQL benutzen.

4. Input validieren.

5. Input escapen.

Kurzum: Alles.

Woher ich das weiß:Studium / Ausbildung – Informatikstudium

gfdsgsdgsdg

Fragesteller

10.07.2022, 17:59

Der DB ordentliche Zugangsdaten geben.

Ja klar, das ist nur Lokal mit Xampp

4. Input validieren.

5. Input escapen.

Das hab ich nicht so genau verstanden, hast du vielleicht ein Beispiel ?

Und ist es dann 100% sicher vor SQL INJ. und XSS wenn ich diese 5 Punkte erledige oder gibt es da noch mehr ?

triopasi

10.07.2022, 18:23

Aktuell darf da jeder alles reinwerfen.. Aich HTML, JavaScript oder sonstwas.. das ist nicht so gut.

Wenn ich mir deinen Code so ansehe nein, du wirst wahrscheinlich in jeder Datei Sicherheitslücken einbauen. Aber zum üben am Anfang ist das i.O.

gfdsgsdgsdg

Fragesteller

11.07.2022, 00:47

@triopasi

Kannst du mir vielleicht sagen welche Angriffsmöglichkeiten du hier hättest ?

Also ich habe dasselbe wie oben mit PDO gemacht und Prepared Statements.

Ein Teil ist um Etwas Auszulesen mit SELECT * FROM ... und der zweite Teil um in die Datenbank einzufügen.


<?php
//Datenbank Informationen
    $server = 'localhost';
    $user = 'root';
    $psw = null;
    $dbName = 'Test';
//Verbinden mit Datenbank ($server $user $psw $dbName )
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.'', $user, $psw);
}catch (PDOException $e) {
   print "Error!: " . $e->getMessage() . "<br/>";
   die();
}




// In Datenbank lesen 
$sql = "SELECT * FROM messages";
//Prepared Statement
$Abfrage = $conn -> prepare($sql);
//Abfrage lesen auführen
$Abfrage -> execute();
$result = $Abfrage -> fetchAll();
//Antwort von der Datenbank in das Objekt result
//Nacheinander anzeigen
foreach ($result as $i) {
    echo "<p class='". $i["user"]."'>".
         $i["message"] ." <br>". 
         $i["date"] .    "</p>";
}




// In Datenbank Schreiben
$username = "Alice";
$message = $_GET['message'];

$sql = 'INSERT INTO messages SET
user = "' . $username . '",
message = "' . $message . '"';
//Prepared Statement
$Abfrage = $conn -> prepare($sql);
//Abfrage Schreiben auführen
$Abfrage -> execute();




//Verbindung mit Datenbank beenden
$conn = null;

triopasi

11.07.2022, 07:51

https://stackoverflow.com/questions/134099/are-pdo-prepared-statements-sufficient-to-prevent-sql-injection

Du benutzt keine prepared Statements. Du hast 1-zu-1 die selben Probleme wie in der ursprünglichen Frage. Alle davon sind noch da.

gfdsgsdgsdg

Fragesteller

11.07.2022, 13:24

@triopasi

Ok danke, wie sieht es deiner Meinung nach jetzt überarbeitet aus ?
Könnte man so veröffentlichen oder immernoch Angreifbar ?

<?php
//Datenbank Informationen
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'Test';
//Verbinden mit Datenbank ($server $user $psw $dbName )
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
   // In Datenbank lesen 
   $sql = "SELECT * FROM messages";
   //Prepared Statement
   $Abfrage = $conn->prepare($sql);
   //Abfrage lesen auführen
   $Abfrage -> execute();
   $result = $Abfrage->fetchAll(PDO::FETCH_ASSOC);
   //Antwort von der Datenbank in das Objekt result
   //Nacheinander anzeigen
   foreach ($result as $i) {
      echo "<p class='". $i["user"]."'>".
         $i["message"] ." <br>". 
         $i["date"] .   "</p>";
   }
   // In Datenbank Schreiben
   $username = "Alice";
//cross site scripting filtern
   $message = htmlspecialchars(stripslashes(trim($_POST['message'])));

   // platzhalter mit doppelpunkt vorran für folgende namen im array , siehe $sqlvars
   $sql = "INSERT INTO messages (user,message) VALUES (:username,:message) ";
   // variablen für platzhalter als array mit "namen" 
   $sqlvars = array("username"  => $username,
                    "message"   => $message );
   //Prepared Statement
   $Abfrage = $conn->prepare($sql);
   //Abfrage Schreiben ausführen , $variablenarray übergeben , maskiert automatisch alle werte .
   $Abfrage->execute($sqlvars);

}catch (PDOException $e) {
  print "Error!: " . $e->getMessage() . "<br/>";
  exit;
}

ranger1111

10.07.2022, 17:59

Ich würde eher ein Framework nehmen, welches bereits SQL Injections verhindern kann. Z.B. ein ORM Framework.

Woher ich das weiß:Studium / Ausbildung – Informatik studiert und mit PCs & Technik beschäftigt

gfdsgsdgsdg

Fragesteller

10.07.2022, 18:00

Aber anscheinend soll das nicht 100% Sicher sein.
Oder ist ORM nicht PDO ?

Klingt ähnlich

ranger1111

10.07.2022, 18:04

Ich weiß nicht, meine PHP-Zeit ist schon ne Weile vorbei.

Ähnliche Fragen

SQL Code richtig?

Hier ist PHP Code, den ich geschrieben hab:

$connection = new mysqli("localhost", "...", "...", "...");
$username = $_POST['username'];
$email = $_POST['email'];
$password = $_POST['password'];
$time = time();
$sql = "INSERT INTO User (Name, Email, Password, Created) VALUES ($username, $email, $password, $time)";
$connection->query($sql);
$connection->close();

Aber der sagt dann dass im SQL Code

$sql = "INSERT INTO User (Name, Email, Password, Created) VALUES ($username, $email, $password, $time)";

Ein Syntax Fehler ist.

Wo ist der Fehler?

Fehler beim erstellen von Database?

Hi, ich hoste meine website über inifinityfree und ich kann keine Database erstellen.

Hier mein Code:

$server = "sql307...";
    $username = "epiz_3...";
    $password = "passwort...";
    $dbname = "epiz_313...";


    $conn = mysqli_connect($server, $username, $password, $dbname);


    if (!$conn) {
        die("Connection failed: " . mysqli_connect_error());
      }
      
      // Create database
      $sql = "CREATE DATABASE myDB";
      if (mysqli_query($conn, $sql)) {
        echo "Database created successfully";
      } else {
        echo "Error creating database: " . mysqli_error($conn);
      }
      
      mysqli_close($conn);

Diese php datei habe ich dann in meine index datei eingebunden und als fehlermeldung bekomme ich folgendes:

Error creating database: Access denied for user 'epiz_31387706'@'192.168.%' to database 'myDB

Leider habe ich mein fehler nicht gefunden vielleich kann einer von euch helfen.

Hallo ich Möchte gerne die 10 Größten Werte aus meiner DB ausgeben?

Hallo :) ich möchte gerne die 10 user mit den Meisten Coins ausgeben.

wie mach ich das genau mit PHP?

Dieses Script gibt mir alle User aus .. ich möchte aber nur die 10 User mit den Meisten Coins ausgeben? Jemand ne Antwort?

<?php $pdo = new PDO('mysql:host=localhost;dbname=test', 'username', 'password');

$sql = "SELECT * FROM users"; foreach ($pdo->query($sql) as $row) { echo $row['coins']." ".$row['id']."
"; echo "E-Mail: ".$row['email']."

"; } ?>

Warum kann dieser php code keine Verbindung zur Datenbank herstellen?

Ich sitze hier und verzweifle förmlich daran, warum sich die eingegebenen Daten aus:

<!DOCTYPE html>
<html>
  <head>
    <h1>Der Weg ins Paradies</h1>
    <link rel="stylesheet" href="GL.css">
  </head>
    <p>Die Welt dadraußen ist trist, doch <br> sein kein Schaf, sei ein Wolf</p>
    <form method="post" action="Registrierungsseite.php">
      <p><label>Name:<br><input type="text" name="Name"></label></p>
      <p><label>E-Mail:<br><input type="text" name="Mail"></label></p>
      <p><label>Passwort:<br><input type="password" name="Passwort"></label></p>
      <p><label>IBAN:<br><input type="text" name="IBAN"></label></p>
      <p><input type="submit" value="Registrieren"></p>
    </form>
  </body>
</html>

nicht in der MySQL-Datenbank wiederfinden.

Meine PHP-Datei ist diese hier:

<?php
  // Get the form data
  $name = $_POST['name'];
  $email = $_POST['email'];
  $password = $_POST['password'];
  $iban = $_POST['iban'];

  // Connect to the MySQL database
  $db = mysqli_connect("localhost", "root", "", "paradies");

  // Check if the connection was successful
  if (mysqli_connect_errno()) {
    // If the connection failed, display an error message and exit
    echo "Failed to connect to MySQL: " . mysqli_connect_error();
    exit;
  }

  // Insert the form data into the MySQL database
  $query = "INSERT INTO paradies (name, email, password,iban) VALUES ('$name', '$email', '$password', '$iban')";

  if (mysqli_query($db, $query)) {
    // If the insert was successful, redirect the user to the login page
    header("Location: GL.php");
    exit;
  }
  else {
    // If the insert failed, display an error message
    echo "Error: " . $query . "<br>" . mysqli_error($db);
  }

  // Close the MySQL connection
  mysqli_close($db);
?>

Ich sehe den Fehler einfach nicht, da sobald man die Daten absendet, es zwar zur PHP-Datei weitergeleitet wird, dann jedoch lediglich der Code zu sehen ist. Die Datenbank hat dann natürlich auch keinen Eintrag.

Danke im Voraus.

Wie kann ich den String hashen?

Ich code derzeit was in Java. Ich bekomme das Password als String vom User und hätte vorgehabt das bei der Registrierung dann mit diesem SQL command zu speichern:

String command = "INSERT INTO userdata(username, password)VALUES ('" + username + "', 'HASHBYTES('SHA2_256', "+user_password+")')";

Vorerst mal, Stimmt das so? Kann das funktionieren? Direkt in Java will ich den hash nicht generieren weil mir das unnötig aufwendig vorkommt.

Beim login habe ich vor den (schon gehashten) String des echten passwords mit dem hash der usereingabe des login passwords zu vergleichen. Doch wie mach ich das in SQL? Dass ich keine Daten in die Tabelle schreibe sondern nur verhashen lasse und dann den hash direkt zurückbekomme..

Vielen Dank im Voraus!

Suchfunktion mit PHP Version 7.1.12 und MySQL?

Hallo,

ich habe mir letztens auf YouTube ein Video angeschaut, wie man mit Hilfe von PHP eine MySQL-Datenbank durchsucht. Ich habe es selber ausprobiert, doch musste leider feststellen, dass der Code nicht für meine PHP-Version (7.1.12) geeignet ist.

Also habe ich versucht ihn umzuschreiben. Das hat aber leider nicht geklappt.

<html>
  <head>
    <title>Suche</title>
  </head>
  <body>
    <form action="" method="get">
      <input type="text" name="suchfeld"/>
      <input type="submit" name="suche_enter" value="suchen"/>
    </form>
    <hr /><br />
    <?php
      if (isset($_GET['suche_enter'])) {
        $host = "localhost";
        $user = "root";
        $pass = "";
        $db = "test_db";
        $conn = new mysqli($host, $user, $pass, $db);

        if ($conn->connect_errno) {
          die("Verbindung fehlgeschlagen: " . $mysqli->connect_error);
        }

        $suchbegriff = trim(htmlentities(stripslashes(mysqli_real_escape_string($_GET['suchfeld']))));
        $sql = "SELECT headline, text FROM article WHERE
          headline LIKE '%$suchbegriff%' OR
          image LIKE '%$suchbegriff%' OR
          overtext LIKE '%$suchbegriff%' OR
          text LIKE '%$suchbegriff%' OR
          gender1 LIKE '%$suchbegriff%' OR
          gender2 LIKE '%$suchbegriff%'
          ORDER BY headline, gender1, overtext, text, gender2, image";
        $query = mysqli_query($sql);

        echo "<ul>";

        WHILE ($row = mysqli_fetch_assoc($query)) {
          $headline = $row['headline'];
          $overtext = $row['overtext'];
          $text = $row['text'];

          echo "<li>$headline <br /><br />$overtext<br /><br /><hr /><br /></li>";
        }

        echo "</ul>";
      }
    ?>
  </body>
</html>

Wie müsste der Code richtig aussehen?

Php Hashen mit "Salz" / PASSWORD_DEFAULT?

$password = "passwort";
$hashed = password_hash($password, PASSWORD_DEFAULT);
if(password_verify($password, $hashed)){
    echo $hashed;
}

Also so würde ich jetzt den string "passwort" hashen mit etwas vollkommen zufälligem / salz und es zb auf meiner datenbank speicher, alles schön und gut.

Jetzt kommt das große aber, wenn ich die Seite von irgendwo anders aufrufe. Dann mich einloggen will wird das eingegebene wieder gehasht mit einem salz um es mit der sql datenbank abzugleichen.

Das geht aber garnicht weil dieses Salz doch immer ein anderer ist wenn ihr versteht was ich meine.

Hashes ohne salz vergleichen kriege ich schonmal ohne probleme hin.

zum beispiel so würde mein login/abgleich mit der datenbank aussehen :

if(isset($_POST["username"]) && isset($_POST["password"])){

$hash = hash("sha512", $_POST["password"]);

$mysqli1 = new mysqli($servername, $user, $pw, $db);
$result = $mysqli1->query('SELECT id FROM user WHERE username = "'. $_POST["username"]. '"  ');
$result1 = $mysqli1->query('SELECT id FROM user WHERE password = "'. $hash. '"  ');

if($result->num_rows == 1 and $result1->num_rows == 1 ) {
  echo "Login erfolreich"; 
} else {
    echo "Falsches Passwort oder Nutzername";
}
$mysqli1->close();
}

Hab jetzt mysqli benutzt weil es irgendwie übersichtlicher ist, und ob das anfällig für Sql Injections oder so ist spielt eigentlich keine rolle erstmal. Manche stört das

PHP Fehler?

Guten Abend, ich habe ein kleines Problem mit meinem PHP Code.

Error:

Warning: Array to string conversion in C:\Users\ali20\Documents\Video Platform\Player\index.php on line 6

Warning: Undefined property: stdClass::$Array in C:\Users\ali20\Documents\Video Platform\Player\index.php on line 6

Warning: Trying to access array offset on value of type null in C:\Users\ali20\Documents\Video Platform\Player\index.php on line 6

Warning: Attempt to read property "name" on null in C:\Users\ali20\Documents\Video Platform\Player\index.php on line 6
Error 723#1

index.php:

<?php
$data = file_get_contents("../SystemData.json");
$data = json_decode($data);
if(isset($_GET['title'])){
  if(!empty($_GET['title'])){
    $checkTitle = $data->$_GET['title']->name;
    if(isset($checkTitle)){
      $title = $_GET['title'];
    }else{
      echo "Error 723#1";
      exit;
    }
  }else{
    echo "Error 723#2";
    exit;
  }
}else{
  echo "Error 723#3";
  exit;
}
?>

SystemData.json:

{
    "7293746918450916": {
        "name": "Ein Film Name",
        "poster": "x",
        "source": "film.mp4"
    }
}

Aufgerufene URL:

http://localhost:3000/Player/index.php?title=7293746918450916

MySQL Ausgabe in PHP funktioniert nicht (Ausgabe = leer)?

Ich möchte über einen Select was in PHP ausgeben. Bei mir sieht alles wie folgt aus:

?php
$servername = server
$username = user
$password = pw
$dbname = db

$link = mysqli_connect($servername, $username, $password, $dbname);
 
// Check connection
if($link === false){
    die("ERROR: Could not connect. " . mysqli_connect_error());
}

$bla =  "SELECT wasauchimmer FROM Accounts where User = 'Testuser'";

foreach ($link->query($bla) as $row) {

   echo $row[wasauchimmer];

}
 
// Close connection
mysqli_close($link);
?

Die Verbindung funktioniert, Update und Insert Befele funktionieren auch. Nur ist die Ausgabe auf meinem Webspace einfach leer - keine Fehlermeldung, garnichts. (Am Anfang und Ende habe ich das obligatorische <?php ?> gesetzt, nur wird das hier anscheinend dank <> nicht richtig interpretiert. Einfach ignorieren)

Mehrere INSERT INTO hintereinander?

Hallo, ich habe das Problem, dass ich Datensätze in zwei Tabellen gleichzeitig eintragen muss, jedoch funktioniert dies nicht und es wird nichts eingetragen. Ich habe schon vieles ausprobiert z.B. die Statements durch Semikolon oder Kommata zu trennen oder sie einfach so stehen lassen.

Hier mein Code:

   $user_type = e($_POST['user_type']);
     $query = "INSERT INTO tlogin (Login, Status, Passwort, Name) 
VALUES('$username', '$user_type', '$password', '$name')
               INSERT INTO tkunde (Name1)
               VALUES('$vorname')";
     mysqli_query($db, $query);
     $_SESSION['success']  = "New user successfully created!!";
     header('location: home.php');
 }else{
     $query = "INSERT INTO tlogin (Login, Status, Passwort, Name)
VALUES('$username', 'user', '$password', '$name')
               INSERT INTO tkunde (Name1)
               VALUES('$vorname')";
     mysqli_query($db, $query);

Danke schonmal für die Hilfe ^^

PHP/MySql wie überprüfen ob Nutzername bereits vergeben?

Wie würde ich das hier am besten mit einer If-Abfrage überprüfen bevor es etwas in die SQL Datenbank schreibt ?

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestDatenbank';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

// POST wird mit AJAX gesendet
   $username = htmlspecialchars(stripslashes((trim($_POST["username"])))) ;
   $password =  password_hash(htmlspecialchars(stripslashes((trim($_POST["password"])))) ,PASSWORD_DEFAULT) ;
   $cash =     100;

// Schreibt in die Datenbank

   $sql = "INSERT INTO user (username,password,cash) VALUES (:username,:password,:cash) ";
   $sqlvars = array("username"  => $username,
   "password" => $password,
   "cash" => $cash);
   $Abfrage = $conn->prepare($sql);
   $Abfrage->execute($sqlvars);


}catch (PDOException $e) {
  print "Error!: " . $e->getMessage() . "<br/>";
  exit;
}

Kennt jemand ein Counter Script, wo die Aufrufe/Klicks in einer counter.txt Datei im Verzeichnis abgespeichert werden - wenn möglich in HTML?

z.B

<script language="JavaScript" src="Die Website Link/counter/counter.php?ac=js">
</script>

couter.php

<?php
function get_urlvar($var_name){
	if(!isset($_GET[$var_name])){
		return ("");
	} else {
		return (trim(urldecode(mysql_escape_string($_GET[$var_name]))));
	}
}
$File = fopen('./daten/cont.txt', 'r+'); 
$Counter = fread($File, filesize('./daten/cont.txt')); 
$Counter++;
rewind($File);
fwrite($File, $Counter); 
fclose($File);
$ac=get_urlvar("ac");
if ($ac == 'js'){
echo "document.write(' Sie sind Besucher Nr. $Counter ');\n";
}else {
echo 'Sie sind Besucher Nr. '.$Counter;
}
?>

wäre ein beispiel. Bei mir geht das aber nicht, keine Ahnung warum. Hat jemand eine andere oder eine etwas einfachere Idee (die Aufrufe/Klicks müssen aber als Datei / txt abgespeichert werden).

Danke im voraus.

PHP MySql Login / Passwort überprüfung?

Kann mir da jemand sagen wo der Fehler liegt ? Ich bin da am verzweifeln.

Login, Registrierung, Fehlermeldung, SQL Struktur habe ich alles in die Frage gepackt damit ihr einen besseren überblick habt.

login.php:

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestApp';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

    $username = htmlspecialchars(stripslashes(trim($_POST['username'])));
    $password = htmlspecialchars(stripslashes(trim($_POST['password'])));

    $statement = $pdo->prepare("SELECT * FROM user WHERE username = :username");
    $result = $statement->execute(array('username' => $username
                                    ));
    $user = $statement->fetch();
    //Überprüfung des Passworts
    if ($user !== false && password_verify($username, $password['passwort'])) {
        $_SESSION['userid'] = $user['id'];
        die('Login erfolgreich. Weiter zu <a href="geheim.php">internen Bereich</a>');
    } else {
        $errorMessage = "Nutzername oder Passwort war ungültig<br>";
    }

}catch (PDOException $e) {
    print "Error!: " . $e->getMessage() ;
    exit;
  }

Konsole :

<br />
<b>Warning</b>: Undefined variable $pdo in <b>C:\xampp\htdocs\Test\assets\php\login.php</b> on line <b>14</b><br />
<br />
<b>Fatal error</b>: Uncaught Error: Call to a member function prepare() on null in C:\xampp\htdocs\Test\assets\php\login.php:14
Stack trace:
#0 {main}
 thrown in <b>C:\xampp\htdocs\Test\assets\php\login.php</b> on line <b>14</b><br />

register.php

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestApp';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

// POST wird mit AJAX gesendet
   $username = htmlspecialchars(stripslashes((trim($_POST["username"])))) ;
   $password =  password_hash(htmlspecialchars(stripslashes((trim($_POST["password"])))) ,PASSWORD_DEFAULT) ;
   $cash =     100;

// Schreibt in die Datenbank

   $sql = "INSERT INTO user (username,password,cash) VALUES (:username,:password,:cash) ";
   $sqlvars = array("username"  => $username,
   "password" => $password,
   "cash" => $cash);
   $Abfrage = $conn->prepare($sql);
   $Abfrage->execute($sqlvars);


}catch (PDOException $e) {
  print "Error!: " . $e->getMessage() . "<br/>";
  exit;
}

SQL STRUKTUR :

Datenbankname : Test

Tabelle : user , 5 Spalten/Rows

id | int , (auto increment)
username | varchar , (unique)
password | varchar, (gehasht mit salt sha512)
cash | varchar
time | datetime, (mit current time stamp)

und ich mache alles mit AJAX.

-PDO statt mysqli

Node.js und SQLite mehrere Eintraege gleichzeitig speichern?

Ich will gerne mehrere Eintraege gleichzeittig in eine Tabelle speichern aber ich weis nicht wie ich das richtig schreibe, ich bekomme ganze zeit nur Fehlermeldungen, der einzige Code den ich jetzt habe der schreibt nur eine Reihe in die Tabelle und sieht so aus:

let sql = 'INSERT INTO users';
	   sql += '(eins';
	   sql += ', zwei';
	   sql += ', drei';
	   sql += ', vier';
	   sql += ', fuenf';
	   sql += ', sechs';
	   sql += ', sieben';
	   sql += ', acht';
	   sql += ', neun)';
	   sql += 'VALUES';
	   sql += "(?,?,?,?,?,?,?,?,?)";

	let objectary = [];
	for(let a=0; a<9; a++)
	objectary[a] = a;
	
	db.run(sql, objectary, function(err)
	{
	  if(err)
	  {
	    res.status(200).json(err.message);
		return console.error(err.message);
	  }
	  if(this.changes > 0)res.status(200).json(1);
	  else res.status(200).json("no changes saved");
	});

Der Code speichert jetzt eine neue zeile in die sqlite tabelle, ich such aber ein Beispiel womit ich direkt zehn oder hundert user in die tabelle speichern kann mit nur ein Request, wie schreibt man das?