Ist dieser Code Safe?

Nun, das irgendwas musst du dann wohl genauer untersuchen. Lass dir z.B. Zwischenwerte ausgeben.

nikeboycookie

Fragesteller

27.10.2023, 18:06

@regex9

Hab es hinbekommen. Danke

NoArtFX

27.10.2023, 17:06

$sql = "SELECT * FROM users WHERE email = '$email'";

Niemals Benutzereingaben einfach so an einen String hängen!

Du ermöglichst damit SQL-Injections.

Ansonsten: Der HTTP Code 303 könnte irreführend sein, da du damit einen Redirect vorgibst.

Ebenfalls der Error Code 0 ist kein HTTP Code.

Da kommt jetzt noch drauf an, was passiert, wenn du den Error Code 0 zurückgibst. Da lässt sich gerade nicht sagen ob das sicher oder unsicher ist.

Woher ich das weiß:Studium / Ausbildung – Bachelor-Student in Informatik

nikeboycookie

Fragesteller

27.10.2023, 17:38

nach 0 passiert in unity das
Debug.Log("Successfull);

DBManager.Instance.Email = email;

SceneManager.LoadScene(1);

NoArtFX

27.10.2023, 17:46

Ah hab überlesen, dass es sich um ein Unity Projekt handelt.

Da kenn ich mich nicht aus, aber ausser der SQL Injection seh ich grad weniger Probleme auf PHP Seite.

Wichtig ist einfach, dass du eine SSL Verbindung zum Server aufbaust, also dass dein PHP Script, bzw. der Webserver wo dein PHP Script drauf ist, ein SSL Certificate hat.

nikeboycookie

Fragesteller

27.10.2023, 18:01

@NoArtFX

Ja hat es durch cloudflare

evermore90

27.10.2023, 14:45

Hinsichtlich Cyber Security Standarts? Nein, nicht so sehr.

Du machst doch gar nichts um die verbindung zum server zu sichern. Du liesst doch nur krams aus der datenbank aus, checkst, ob das Passwort richtig ist oder nicht und fertig. Du verhinderst nicht das Hacker die Datenbank einfach auslesen.

nikeboycookie

Fragesteller

27.10.2023, 14:51

Von cyber security hab ich leider nicht so eine Ahnung, da das mein erstes Login System ist. Wie kann ich es denn verbessern?

W00dp3ckr

27.10.2023, 14:47

Da ist so Einiges. Du erhöhst die Sicherheit, wenn der Code auf der Clientseite schon gehasht wird.

Aber wichtiger ist: Es geht ja nicht darum, ob Du eine gewisse Seite herausgibst, sondern Du möchtest bei allen Seiten unterschiedlichen Inhalt ausgeben, je nachdem ob die Person eingeloggt ist. Dafür gibt es üblicherweise Frameworks, die Dir dabei helfen.

Die $email so als Teil der SQL-Abfrage zu nutzen macht Deinen Code verwundbar für SQL Injection.

smiregal8472

20.03.2024, 18:41

Du erhöhst die Sicherheit, wenn der Code auf der Clientseite schon gehasht wird.

Damit würde sich die Sicherheit um exakt 0 erhöhen.

Vollkommen egal, ob das Kennwort oder ein Hash übertragen und dann serverseitig abgeglichen wird, sollte sich jemand in die Leitung hängen, dann läuft beides exakt auf's gleiche raus.

Und das wäre noch der beste Fall.

W00dp3ckr

20.03.2024, 18:44

Na, da bist Du aber gedanklich etwas limitiert, was Angrifsszenarien angeht. Stell Dir vor, Du hast Datenabfluss, dann macht der Hash schon einen immensen Unterschied.

smiregal8472

20.03.2024, 18:51

@W00dp3ckr

dann macht der Hash schon einen immensen Unterschied.

Wie sollte er?

Wenn du den Hash zum Server überträgst um ihn dann dort abzugleichen, dann brauchst du beim Aufzeichnen des Datenflusses auch nur den Hash abzugreifen und schon kannst du dich beim Server authentifizieren.

Was glaubst du, warum heutzutage so ziemlich alles über HTTPS läuft statt unverschlüsselt?

W00dp3ckr

20.03.2024, 19:04

Ich gehe einfach mal davon aus, dass jemand mit Hirn das über HTTPS laufen lässt. Alles Andere ist momentan eh ein Kunstfehler. Viele Frameworks erlauben das gar nicht mehr.

Aber zu den Passwort-Hashes: Wenn Du Datenabfluss hast, und Die Passwörter nicht gehasht waren, bekommst Du Ärger. Ganz einfach. Weil die Passwörter im Klartext sehr viel “brauchbarer” sind als gehashte PWs mit Salz.

Wenn Du mir das nicht glaubst, dann google das mal, bekommst Du sicher hin.

smiregal8472

20.03.2024, 19:07

@W00dp3ckr

Diese Hashes von denen du sprichst liegen auf dem Server.

Den Hashvorgang bereits Clientseitig durchzuführen bringt im besten Fall gar keine Verbesserung der Sicherheit und im schlimmsten Fall eine massive Verschlechterung derselben.

P.S.: Googlen kannst du mal schön selber machen, da liegt bei dir offensichtlich weit mehr Notwendigkeit für vor...

W00dp3ckr

20.03.2024, 19:49

LOL. Also ganz langsam. Dass ein Passwort irgendwo abgegriffen wird, das kann passieren. Da hilft dann auch kein Hash, damit ist dann EIN Nutzer kompromittiert. Wenn der Hash mit Salt verwendet wird, ist er aber auch nur auf EINER Seite kompromittiert. Mit dem ohne Hash und ohne Salt, ist es dann ein Problem für einen Nutzer auf potentiell vielen Websites.

Das, wovor man als Betreiber einer Webseite mit personenbezogenen Daten wirklich Angst hat, ist, dass jemand sie hackt, und dann die Passwörter im Klartext abfließen, die dann zusammen mit den ebenfalls gespeicherten Mailadressen für Scam oder auch einfach für das Einloggen bei möglichst vielen anderen Seiten genutzt werden können. Das kann man mit den Hashes sehr stark erschweren, wenn der Hash groß genug ist, die Passwörter lang genug sind und Salz verwendet wird.

smiregal8472

20.03.2024, 19:57

@W00dp3ckr

Meine Fresse, genau das sag ich ja.

Du hast aber behauptet, dass das Hashen auf Clientseite zur Verbesserung der Sicherheit beitragen würde. Und das ist einfach nur völliger Mumpitz.

Aber hier nochmal, damit du's auch kapierst:

Der Client überträgt das Kennwort zum Server.
Der Server hasht das Kennwort und gleicht das Ergebnis mit dem zur Benutzer-ID gehörenden Hash aus seiner Datenbank ab.
Entweder stimmen gespeicherter und berechneter Hash überein, dann ist der Login erfolgreich, ansonsten nicht.

W00dp3ckr

20.03.2024, 21:54

Und wann ist es schlechter den Hash im Client zu berechnen? Wenn auf dem Weg der Hash abgegriffen wird, ist nur der Hashwert kompromittiert, nicht das PW. Aber wie wir uns einig sind ist der Sicherheitsgewinn davon marginal. Und SSL muss benutzt werden. Danke, dass Du mir meinen Job erklärst, vielleicht finden sich ja noch andere, denen Du alles ganz genau und von oben herab erklären kannst.

smiregal8472

20.03.2024, 22:04

@W00dp3ckr

Der Sicherheitsgewinn ist nicht marginal, sondern exakt 0.

Der einzige "Sicherheitsgewinn", den man hierbei haben könnte, wäre der, dass der Datenangreifer sich zwar bei dem einen Server authentifizieren könnte, ohne das Kennwort zu kennen, aber nicht bei anderen Servern, bei denen der Benutzer ebenfalls das Kennwort "1234567" verwendet.

Aber in diesem Fall müsste der Client natürlich auch das Salz kennen, das verwendet wurde, was den Aufwand bei dieser Herangehensweise unverhältnismäßig höher als den wirklichen Nutzen treiben würde.

Und wenn du tatsächlich einen Fall suchst, in dem clientseitiges Hashen einen definitiven Nachteile hat: Das wäre der Fall, wenn der Client für jeden Authentifizierungsvorgang ein neues Salz generieren würde. Denn dann müsste dem Server das ungehashte Kennwort vorliegen.

Würde zwar (hoffentlich) niemals jemand so implementieren, aber es gibt immer den einen wahnsinnigen Idioten, man weiß nur nicht wo und wann er zuschlägt.

geheim007b

27.10.2023, 16:38

nein, der Code ist alles andere als sicher. du quotest die eingabe nicht, das ist ein klassischer SQL Injection fall

nikeboycookie

Fragesteller

27.10.2023, 16:43

eine Frage ist sql injection bei Register quch ein ding? Denke nein oder?

geheim007b

27.10.2023, 17:23

bei register?

du darfst usereingaben nie ungeprüft in eine SQL Abfrage überführen

W00dp3ckr

20.03.2024, 19:50

Ganz allgemein kannst Du SQL Injizieren, wenn ein Parameter aus dem Web ungeprüft verwendet wird.

Ähnliche Fragen

SQL Code richtig?

Hier ist PHP Code, den ich geschrieben hab:

$connection = new mysqli("localhost", "...", "...", "...");
$username = $_POST['username'];
$email = $_POST['email'];
$password = $_POST['password'];
$time = time();
$sql = "INSERT INTO User (Name, Email, Password, Created) VALUES ($username, $email, $password, $time)";
$connection->query($sql);
$connection->close();

Aber der sagt dann dass im SQL Code

$sql = "INSERT INTO User (Name, Email, Password, Created) VALUES ($username, $email, $password, $time)";

Ein Syntax Fehler ist.

Wo ist der Fehler?

PHP MySQL-Abfrage mit zwei Werten?

Hallo zusammen. Ich habe vorlaufend ein Login-Skript, was mir auf der "internen" Seite dann den Nutzernamen mit

$user = check_user();

Hallo <?php echo htmlentities($user['vorname']);

ausgibt, was auch funktioniert.

Jetzt möchte ich allerdings mit dem Nutzernamen weiterarbeiten und habe eine Abfrage, welche aus einem anderen Tabellenblatt der SQL den Match mit dem Vornamen suchen und den folgenden Wert dann natürlich ausgeben soll.

Aber irgendwie bin ich auf dem Holzweg, weil das nicht hinhaut.

Ich würde mich total über eine Hilfestellung freuen.

Danke.

Warning: Array to string conversion in

  // Create connection
  $conn = new mysqli($servername, $username, $password, $dbname);
  
  // Check connection
  if ($conn->connect_error) {
    die("Connection failed: " . $conn->connect_error);
  }
  
  $sql = "SELECT versendet FROM obwacht WHERE ersteller like '$user'";
  $result = $conn->query($sql);
  
  if ($result->num_rows > 0) {
    // output data of each row
    while ($row = $result->fetch_assoc()) {
      echo "Versendet: " . $row["versendet"]. " - Name: " . $row["ersteller"]. "<br>";
    }
  }
  else {
    echo "0 results";
  }
  
  $conn->close();
?>

PHP: 'Parse error: syntax error, unexpected token "}"', obwohl alles richtig ist?

<?php

  class Login {
    private $error = "";

    public function evaluate($data) {
      $email = addslashes($data['email']);
      $password = addslashes($data['password']);

      $query = "select * from users where email = '$email' limit 1 ";

      $DB = new Database();
      $result = $DB->read($query);

      if ($result) {
        $row = $result[0];

        if ($password == $row['password']) {
          $_SESSION['userid'] = $row['userid'];
        }
        else {
          $error .= "Pwrong password or Email<br>"
        }
        else {
          $error .= "Ewrong password or Email<br>"
        }

        return $error;
      }
    }

Die Fehlermeldung:

Parse error: syntax error, unexpected token "}"

in /opt/lampp/htdocs/Website/classes/login.php on line 30

Hat jemand eine Idee?

Unity Loginsystem mit PHP 500 Error?

Hallo, wisst ihr vielleicht warum dieser Code nicht funktioniert?

Ich habe einen Root Server mit MariaDB, PHP 8.2 und phpMyAdmin.

Das ist mein Servercode:

<?php

  $servername = "localhost";
  $username = "blabla";
  $password = "blabla";
  $dbname = "blabla";

  // variables submited by user
  $loginUser = $_POST["loginUser"];
  $loginPass = $_POST["loginPass"];

  // Create connection
  $conn = new mysqli($servername, $username, $password, $dbname);

  // Check connection
  if ($conn->connect_error) {
    die("Connection failed: " . $conn->connect_error);
  }

  echo "Conected successfully, now we will show the users.<br><br>";

  $sql = "SELECT password FROM users WHERE username = " . $loginUser;
  $result = $conn->query($sql);

  if ($result->num_rows > 0) {
    // output data of each row
    while ($row = $result->fetch_assoc()) {
      if ($row["password"] == $loginPass) {
        echo "login Success";
      }
      else {
        echo "wrong credentials";
      }
    }
  }
  else {
    echo "Username does not exist";
  }

  $conn->close();
?>

Das ist mein Unity-Code:

void Start()
{
  // A correct website page.
  StartCoroutine(Login("testuser", "123456"));
}

IEnumerator Login(string username, string password)
{
  WWWForm form = new WWWForm();
  form.AddField("loginUser", username);
  form.AddField("loginPass", password);

  using (UnityWebRequest www = UnityWebRequest.Post("http://blabla/Login.php", form))
  {
    yield return www.SendWebRequest();

    if www.result != UnityWebRequest.Result.Success)
    {
      Debug.Logwww.error);
    }
    else
    {
      Debug.Logwww.downloadHandler.text);
    }
  }
}

In Unity bekomme ich folgende Fehlermeldung:

Und wenn ich auf das PHP-Dokument im Internet gehe:

Danke für eure Hilfe.

Php Hashen mit "Salz" / PASSWORD_DEFAULT?

$password = "passwort";
$hashed = password_hash($password, PASSWORD_DEFAULT);
if(password_verify($password, $hashed)){
    echo $hashed;
}

Also so würde ich jetzt den string "passwort" hashen mit etwas vollkommen zufälligem / salz und es zb auf meiner datenbank speicher, alles schön und gut.

Jetzt kommt das große aber, wenn ich die Seite von irgendwo anders aufrufe. Dann mich einloggen will wird das eingegebene wieder gehasht mit einem salz um es mit der sql datenbank abzugleichen.

Das geht aber garnicht weil dieses Salz doch immer ein anderer ist wenn ihr versteht was ich meine.

Hashes ohne salz vergleichen kriege ich schonmal ohne probleme hin.

zum beispiel so würde mein login/abgleich mit der datenbank aussehen :

if(isset($_POST["username"]) && isset($_POST["password"])){

$hash = hash("sha512", $_POST["password"]);

$mysqli1 = new mysqli($servername, $user, $pw, $db);
$result = $mysqli1->query('SELECT id FROM user WHERE username = "'. $_POST["username"]. '"  ');
$result1 = $mysqli1->query('SELECT id FROM user WHERE password = "'. $hash. '"  ');

if($result->num_rows == 1 and $result1->num_rows == 1 ) {
  echo "Login erfolreich"; 
} else {
    echo "Falsches Passwort oder Nutzername";
}
$mysqli1->close();
}

Hab jetzt mysqli benutzt weil es irgendwie übersichtlicher ist, und ob das anfällig für Sql Injections oder so ist spielt eigentlich keine rolle erstmal. Manche stört das

Ich habe ein Login gebaut. Jenen sollen wir nun ausschließlich mit AJAX verbessern. (Wir dürfen dabei nicht sowas wie JQUERY verwenden. Das wissen fehlt uns aber dafür an meisten. Vielleicht kann jemand mir dabei helfen mein Login umzubauen und zu verstehen was ich mache.

Mein Login-Quelltext:

<?php
$pdo = new PDO('mysql:host=localhost;dbname=phptest', 'root', '');

if(isset($_GET['login'])) {
  $email = $_POST['Email'];
  $passwort = $_POST['Passwort'];

  $statement = $pdo->prepare("SELECT * FROM login WHERE Email = :Email");
  $result = $statement->execute(array('Email' => $email));
  $user = $statement->fetch();

  //Überprüfung des Passworts
  if ($user !== false && password_verify($passwort, $user['Passwort'])) {
    $_SESSION['userid'] = $user['ID'];
    die('Login erfolgreich. Weiter zu <a href="index.php?site=Startseite">internen Bereich</a>');
  } else {
    $errorMessage = "E-Mail oder Passwort war ungültig<br>";
  }

}
?>
<!DOCTYPE html>
<html>
<head>
  <title>Login</title>
</head>
<body>

<?php
if(isset($errorMessage)) {
  echo $errorMessage;
}
?>

<form action="Loginseite.php?login=1" method="post">
  E-Mail:<br>
  <input type="email" size="40" maxlength="250" name="Email" required><br><br>

  Dein Passwort:<br>
  <input type="password" size="40" maxlength="250" name="Passwort" required><br>

  <input type="submit" value="Login">
</form>
</body>
</html>

Warum ist $_POST hier leer?

Hi, arbeite gerade an nem Kontaktformular, welches mit JQuery und Ajax gesendet werden soll. Hier der Code:

let form = $(this);
let actionUrl = "assets/php/contact.php";

$.ajax({
    type: "POST",
    url: actionUrl,
    contentType: "application/json",
    data: form.serialize(),
    success: function (backendError) {
        console.log(backendError);
        errorHandler(backendError);
    },
    error: function () {
        console.log("failure");
        alert("Internal Error occured. Please try again later");
    }
});

hier der PHP Code zum senden:

<?php
if ($_SERVER["REQUEST_METHOD"] == "POST") {
    try {
        $errors = array();
        $name = "";
        $email = "";
        $human = "";
        $message = "";

        if (empty($_POST["name"])) {
            $errors[] = "name";
        } else {
            $name = $_POST["name"];
        }

        if (empty($_POST["email"])) {
            $errors[] = "email";
        } else {
            $email = $_POST["email"];
        }

        if (empty($_POST["human"])) {
            $errors[] = "human";
        }

        if (empty($_POST["message"])) {
            $errors[] = "message";
        } else {
            $message = $_POST["message"];
        }

        if (count($errors) === 0) {
            $to = "my@email.de";
            $subject = "Kontaktformular - " . $name;
            $message = "";
            $additional_headers = array(
                "From" => $email,
                "Reply-To" => $email,
                "X-Mailer" => phpversion()
            );

            mail($to, $subject, $message, $additional_headers);
            $response["error"] = false;
            echo json_encode($response);
            exit;
        } else {
            $response["error"] = $errors;
            echo json_encode($response);
            exit;
        }
    } catch (Exception $exception) {
        // in Log File Time + Error + IP
        exit;
    }
}

mein Problem: das POST Array is leer. Habs mir mal ganz oben ausgeben lassen, und stand nix drin, obwohl jquery die inputfelder per POST an das PHP File sendet. Ich denke, dass ich irgendwas bei der $ajax methode falsch gemacht habe, und es deshalb net funktioniert. bin am verzweifeln :) danke für jede Hilfe!

Javascript Ajax Php kein Wert?

Console:

HTML javascript Code ajax:

function send(text){
   console.log("Text kurz vor versenden:\n" +text);
//hier hat er noch einen wert
   $.ajax({
     method: "POST",
     url: "DataSender.php",
     data: { text: text}
   }).done(function( response ) {
       console.log(response);
     console.log("weiterleitung

Php Code Ajax Übertragung wo es nicht geht:

      $text = $_POST['text'];
      $sql = "INSERT INTO `Xss-Data` (`ID`,`DATA`, `created_at`) VALUES (null, '{$text}' , CURRENT_TIMESTAMP)";

      if (empty($text)) {
              //das ist empty!
              echo("Error:\nEs ist leer\nText wäre\n$text");
          } else

Sind die wichtigen Code snippets

Der String hat keinen Wert. Warum? Wie löst man das?

SQL Injektion und Cross Site Scripting verhindern?

Wie würde ich das hier in sicher machen ?

Es ist der Php Code von einem Unsicheren Chat aber es geht mir um XSS oder SQL Injectons, nicht um Verschlüsselungen etc.

<?php
    $host = 'localhost';
    $user = 'root';
    $pw = '';
    $database = 'Chat';
$db = mysqli_connect($host, $user, $pw, $database);

if ($db) {
} else {
    exit("Error" . mysqli_connect_error());
}
if (isset($_GET['message']) && $_GET["message"] != "") {
    $username = "Alice";
    $message = $_GET['message'];
    $sql_insert = 'INSERT INTO messages SET
                  user = "' . $username . '",
                  message = "' . $message . '"';
    $sql = "SELECT * FROM messages";
    $res =  $db->query($sql);
    $insert = mysqli_query($db, $sql_insert);
    echo "Sucessfull";
}
else {
    echo '<script> alert("Bitte Trage etwas ein")';
}

Warum kann dieser php code keine Verbindung zur Datenbank herstellen?

Ich sitze hier und verzweifle förmlich daran, warum sich die eingegebenen Daten aus:

<!DOCTYPE html>
<html>
  <head>
    <h1>Der Weg ins Paradies</h1>
    <link rel="stylesheet" href="GL.css">
  </head>
    <p>Die Welt dadraußen ist trist, doch <br> sein kein Schaf, sei ein Wolf</p>
    <form method="post" action="Registrierungsseite.php">
      <p><label>Name:<br><input type="text" name="Name"></label></p>
      <p><label>E-Mail:<br><input type="text" name="Mail"></label></p>
      <p><label>Passwort:<br><input type="password" name="Passwort"></label></p>
      <p><label>IBAN:<br><input type="text" name="IBAN"></label></p>
      <p><input type="submit" value="Registrieren"></p>
    </form>
  </body>
</html>

nicht in der MySQL-Datenbank wiederfinden.

Meine PHP-Datei ist diese hier:

<?php
  // Get the form data
  $name = $_POST['name'];
  $email = $_POST['email'];
  $password = $_POST['password'];
  $iban = $_POST['iban'];

  // Connect to the MySQL database
  $db = mysqli_connect("localhost", "root", "", "paradies");

  // Check if the connection was successful
  if (mysqli_connect_errno()) {
    // If the connection failed, display an error message and exit
    echo "Failed to connect to MySQL: " . mysqli_connect_error();
    exit;
  }

  // Insert the form data into the MySQL database
  $query = "INSERT INTO paradies (name, email, password,iban) VALUES ('$name', '$email', '$password', '$iban')";

  if (mysqli_query($db, $query)) {
    // If the insert was successful, redirect the user to the login page
    header("Location: GL.php");
    exit;
  }
  else {
    // If the insert failed, display an error message
    echo "Error: " . $query . "<br>" . mysqli_error($db);
  }

  // Close the MySQL connection
  mysqli_close($db);
?>

Ich sehe den Fehler einfach nicht, da sobald man die Daten absendet, es zwar zur PHP-Datei weitergeleitet wird, dann jedoch lediglich der Code zu sehen ist. Die Datenbank hat dann natürlich auch keinen Eintrag.

Danke im Voraus.

Weiterleitung nach erstem Login?

Guten Tag und frohe Weihnachten. Meine Frage: ich habe vor ein paar Tagen schon einmal von einer Personengrenze in PHP gesprochen. Jedoch bin ich mit meinem Latein am Ende, da ich eher front-end Entwickler bin. Hätte vielleicht jemand einen Code-schnipsel mit dem ich nach einem Login ein timeout setze dass sich für 30 Sekunden niemand anmelden kann? Sollte dann logischerweise auf eine andere Seite weitergeleitet werden für Load-balance.
login:

<?php
include "config.php";

if(isset($_POST['but_submit'])){

    $uname = mysqli_real_escape_string($con,$_POST['txt_uname']);
    $password = mysqli_real_escape_string($con,$_POST['txt_pwd']);

    if ($uname != "" && $password != ""){

        $sql_query = "select count(*) as cntUser from users where username='".$uname."' and password='".$password."'";
        $result = mysqli_query($con,$sql_query);
        $row = mysqli_fetch_array($result);

        $count = $row['cntUser'];

        if($count > 0){
            $_SESSION['uname'] = $uname;
            header('Location: show.php');
        }else{
            echo "Falscher PIN-Code. Bitte versuche es nocheinmal oder lass es.";
        }

    }

}
?>

Crypt Seite:

 <?php
include "config.php";
$timeout = 10;

//Set the maxlifetime of the session

ini_set( "session.gc_maxlifetime", $timeout );

//Set the cookie lifetime of the session

ini_set( "session.cookie_lifetime", $timeout );

// Check user login or not
if(!isset($_SESSION['uname'])){
    header('Location: login.php');
}

// logout
if(isset($_POST['but_logout'])){
    session_destroy();
    header('Location: login.php');
}
session_start();

//Set the default session name

$s_name = session_name();


//Check the session exists or not

if(isset( $_COOKIE[ $s_name ] )) {



    setcookie( $s_name, $_COOKIE[ $s_name ], time() + $timeout, '/' );


}

else

    header("Location: login.php");

?>

PHP MySQL Datenbank Verbindungsfehler?

syntax error, unexpected variable "$res" line 12

<?php
require_once ('connect.php'); 

   $con = mysqli_connect("127.0.0.1", "root", "jbujbujbu");
   mysqli_select_db($con, "test");
   if(isset($_POST["gesendet"]))
   $sql = "SELECT * FROM konzerte"
      . "'Datum'" . $_POST['date']
        . " 'Land = '" . $_POST['land']
      . " 'Stadt = '" . $_POST['stadt']

   $res = mysqli_query($con, $sql)
   or die(mysqli_error($con));
   $num = mysqli_num_rows($res);
   if($num > 0) {echo "<p>Ergebnis:<br></p>";
    echo "<p>";
echo $num;
echo "</p>";
}
else         echo "<p>Keine Ergebnisse<br></p>";

   mysqli_close($con);
?>

PHP MySql Login / Passwort überprüfung?

Kann mir da jemand sagen wo der Fehler liegt ? Ich bin da am verzweifeln.

Login, Registrierung, Fehlermeldung, SQL Struktur habe ich alles in die Frage gepackt damit ihr einen besseren überblick habt.

login.php:

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestApp';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

    $username = htmlspecialchars(stripslashes(trim($_POST['username'])));
    $password = htmlspecialchars(stripslashes(trim($_POST['password'])));

    $statement = $pdo->prepare("SELECT * FROM user WHERE username = :username");
    $result = $statement->execute(array('username' => $username
                                    ));
    $user = $statement->fetch();
    //Überprüfung des Passworts
    if ($user !== false && password_verify($username, $password['passwort'])) {
        $_SESSION['userid'] = $user['id'];
        die('Login erfolgreich. Weiter zu <a href="geheim.php">internen Bereich</a>');
    } else {
        $errorMessage = "Nutzername oder Passwort war ungültig<br>";
    }

}catch (PDOException $e) {
    print "Error!: " . $e->getMessage() ;
    exit;
  }

Konsole :

<br />
<b>Warning</b>: Undefined variable $pdo in <b>C:\xampp\htdocs\Test\assets\php\login.php</b> on line <b>14</b><br />
<br />
<b>Fatal error</b>: Uncaught Error: Call to a member function prepare() on null in C:\xampp\htdocs\Test\assets\php\login.php:14
Stack trace:
#0 {main}
 thrown in <b>C:\xampp\htdocs\Test\assets\php\login.php</b> on line <b>14</b><br />

register.php

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestApp';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

// POST wird mit AJAX gesendet
   $username = htmlspecialchars(stripslashes((trim($_POST["username"])))) ;
   $password =  password_hash(htmlspecialchars(stripslashes((trim($_POST["password"])))) ,PASSWORD_DEFAULT) ;
   $cash =     100;

// Schreibt in die Datenbank

   $sql = "INSERT INTO user (username,password,cash) VALUES (:username,:password,:cash) ";
   $sqlvars = array("username"  => $username,
   "password" => $password,
   "cash" => $cash);
   $Abfrage = $conn->prepare($sql);
   $Abfrage->execute($sqlvars);


}catch (PDOException $e) {
  print "Error!: " . $e->getMessage() . "<br/>";
  exit;
}

SQL STRUKTUR :

Datenbankname : Test

Tabelle : user , 5 Spalten/Rows

id | int , (auto increment)
username | varchar , (unique)
password | varchar, (gehasht mit salt sha512)
cash | varchar
time | datetime, (mit current time stamp)

und ich mache alles mit AJAX.

-PDO statt mysqli

PHP/MySql wie überprüfen ob Nutzername bereits vergeben?

Wie würde ich das hier am besten mit einer If-Abfrage überprüfen bevor es etwas in die SQL Datenbank schreibt ?

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestDatenbank';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

// POST wird mit AJAX gesendet
   $username = htmlspecialchars(stripslashes((trim($_POST["username"])))) ;
   $password =  password_hash(htmlspecialchars(stripslashes((trim($_POST["password"])))) ,PASSWORD_DEFAULT) ;
   $cash =     100;

// Schreibt in die Datenbank

   $sql = "INSERT INTO user (username,password,cash) VALUES (:username,:password,:cash) ";
   $sqlvars = array("username"  => $username,
   "password" => $password,
   "cash" => $cash);
   $Abfrage = $conn->prepare($sql);
   $Abfrage->execute($sqlvars);


}catch (PDOException $e) {
  print "Error!: " . $e->getMessage() . "<br/>";
  exit;
}