SQL Injektion und Cross Site Scripting verhindern?

hier

so macht man es richtig

<?php
//Datenbank Informationen
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'Test';
//Verbinden mit Datenbank ($server $user $psw $dbName )
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
   // In Datenbank lesen 
   $sql = "SELECT * FROM messages";
   //Prepared Statement
   $Abfrage = $conn->prepare($sql);
   //Abfrage lesen auführen
   $Abfrage -> execute();
   $result = $Abfrage->fetchAll(PDO::FETCH_ASSOC);
   //Antwort von der Datenbank in das Objekt result
   //Nacheinander anzeigen
   foreach ($result as $i) {
      echo "<p class='". $i["user"]."'>".
         $i["message"] ." <br>". 
         $i["date"] .   "</p>";
   }
   // In Datenbank Schreiben
   $username = "Alice";
   $message = $_GET['message'];
   // platzhalter mit doppelpunkt vorran für folgende namen im array , siehe $sqlvars
   $sql = "INSERT INTO messages (user,message) VALUES (:username,:message) ";
   // variablen für platzhalter als array mit "namen" 
   $sqlvars = array("username"  => $username,
                    "message"   => $message );
   //Prepared Statement
   $Abfrage = $conn->prepare($sql);
   //Abfrage Schreiben ausführen , $variablenarray übergeben , maskiert automatisch alle werte .
   $Abfrage->execute($sqlvars);

}catch (PDOException $e) {
  print "Error!: " . $e->getMessage() . "<br/>";
  exit;
}

TechPech1984

11.07.2022, 01:08

zu dein angriffmöglichkeiten gehört natürlich dann das XSS , weil wenn die $message javascript enthält wird das bei anzeige ausgeführt . also muss du noch mal nachgucken im netz wie man sowas entfernt aus der message .

gfdsgsdgsdg

Beitragsersteller

11.07.2022, 01:14

Danke , Also ist das was du bearbeitet hast dann auch wirklich SQL Injection sicher oder könnte man selbst das noch irgendwie knacken ?

Und für das XSS müsste doch das hier ausreichen ?

echo htmlspecialchars(stripslashes(trial($_[GET["message"])));

Oder ist nur oberflächlich/grob

TechPech1984

11.07.2022, 01:14

ausserdem brauchst du noch session , da du nur message empfangen solltest was auch von deinem php gesendet wurde und nicht irgendwer mit GET an die url hängt . den dann spämmt dich irgendwer voll

also z.b.

in der form.php

<?php
session_start();
$_SESSION["message"] = "ok";
.
.
?>

und in deinem INSERT dann

<?php
session_start();
if (!isset($_SESSION['message'])) {exit;}
.
.
?>

TechPech1984

11.07.2022, 01:19

https://www.php-einfach.de/experte/php-sicherheit/cross-site-scripting-xss-in-php/

echo htmlspecialchars(stripslashes(trial($_[GET["message"])));

ja geht , kannst dir auch eine funktion daraus machen wie hier beschrieben

aber das strip slashes brauchste dann eigentlich nicht mehr .

gfdsgsdgsdg

Beitragsersteller

11.07.2022, 01:20

Danke aber ich glaube das mit dem spammen über die URL funktioniert hier nicht da ich das mit Ajax mache.

Der vordere Teil sieht so aus, sieht vielleicht für dich ein wenig dumm programmiert (Im Html Dokument mit Script Tags) aus aber das ist kein Ernst gemeintes Projekt und kann man schnell bearbeiten.

<script>
    $('#absendeFormular').submit(function(event){
    event.preventDefault();
    $.ajax({
        type:"GET",
        url:"assets/PHP/sendMessage.php",
        data: $(this).serialize(),
        success: function (data) {
            console.log(data)
          }
    });
    $('#absendeFormular')[0].reset();
    });
    </script>

<script>
 setInterval(() => {
    $(document).ready(function(event){
    $.ajax({
        type:"GET",
        url:"assets/PHP/aktualisieren.php",
        data: $(this).serialize(),
        success: function (data) {
            $('#ChatBereich').html(data)
          }
    });
    });
}, 500);
    </script>

TechPech1984

11.07.2022, 01:22

das ist egal , ich kann ein GET auch selber mit AJAX von irgendwo machen , mach ich mir meine eigene webseite .

solltest eh lieber per POST machen . und wie gesagt , nur das $_SESSION verhindert das andere seiten das ausnutzen .

TechPech1984

11.07.2022, 01:23

deswegen auch deine anderen seiten immer als php mit session_start() damit du weisst welcher user da von deinem server kommt . also auch wenn du dort javascript lädst zum verschicken, wichtig, der user soll schon eine session haben , die wird dann im header mitgeschickt auch beim ajax.

gfdsgsdgsdg

Beitragsersteller

11.07.2022, 01:24

Achso, dann nehme ich lieber POST.

GET soll ein kleines bisschen Performanter sein und es hat nicht in der URL gestört wie normalerweise deswegen hab ich mich schnell dafür entschieden.

..../&message=......................................

würde nicht schön aussehen

TechPech1984

11.07.2022, 01:25

kannst auch get machen , das ist nicht schlimm , aber halt doof weil alte browser bei urls mit 255 zeichen früher aufgehört haben .

TechPech1984

11.07.2022, 01:28

moment, bei ajax ist get ok , das taucht ja nicht in der history auf .

gfdsgsdgsdg

Beitragsersteller

11.07.2022, 01:34

echo htmlspecialchars(stripslashes(trial($_[GET["message"])));

Hab mich verschrieben, meinte *trim

ja geht , kannst dir auch eine funktion daraus machen wie hier beschrieben

function xss($string) {
  return htmlspecialchars($string, ENT_QUOTES, 'UTF-8');
}

also so und dann

$message = xss($_POST['message']);

Das ist dann aufjedenfall übersichtlicher

TechPech1984

11.07.2022, 01:41

https://gist.github.com/mbijon/1098477/4e245ab3844ddbd0e7c6f9fdf360501517e121cf

ah wenn du gelesen hast , ist das immer kompliziert wenn man das bei der eingabe schon macht .

bei der ausgabe wäre fast leichter , oder eben einen wirklichen filter bauen .

musst du gucken , den wenn etwas erstmal merkwürdig in einer datenbank steht kann das auch nerfen :) da eben alle zeichen dann umgeformt werden und die daten schlecht anders genutzt werden können .

ggf ein filter bauen der ['message'] mit script tags nicht erlaubt . und dann nur die tags maskieren .

z.b. hier ganz nett gemacht

EinAlexander

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, JavaScript, Programmieren & Softwareentwicklung

10.07.2022, 18:27

SQL Injektion und Cross Site Scripting verhindern?

Verwende PDO mit prepared Statements. Damit bist Du auf der sicheren Seite.

Alex

gfdsgsdgsdg

Beitragsersteller

11.07.2022, 00:47

Kannst du mir vielleicht sagen welche Angriffsmöglichkeiten du hier hättest ?

Also ich habe dasselbe wie oben mit PDO gemacht und Prepared Statements.

Ein Teil ist um Etwas Auszulesen mit SELECT * FROM ... und der zweite Teil um in die Datenbank einzufügen.

<?php
//Datenbank Informationen
    $server = 'localhost';
    $user = 'root';
    $psw = null;
    $dbName = 'Test';
//Verbinden mit Datenbank ($server $user $psw $dbName )
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.'', $user, $psw);
}catch (PDOException $e) {
   print "Error!: " . $e->getMessage() . "<br/>";
   die();
}




// In Datenbank lesen 
$sql = "SELECT * FROM messages";
//Prepared Statement
$Abfrage = $conn -> prepare($sql);
//Abfrage lesen auführen
$Abfrage -> execute();
$result = $Abfrage -> fetchAll();
//Antwort von der Datenbank in das Objekt result
//Nacheinander anzeigen
foreach ($result as $i) {
    echo "<p class='". $i["user"]."'>".
         $i["message"] ." <br>". 
         $i["date"] .    "</p>";
}




// In Datenbank Schreiben
$username = "Alice";
$message = $_GET['message'];

$sql = 'INSERT INTO messages SET
user = "' . $username . '",
message = "' . $message . '"';
//Prepared Statement
$Abfrage = $conn -> prepare($sql);
//Abfrage Schreiben auführen
$Abfrage -> execute();




//Verbindung mit Datenbank beenden
$conn = null;

EinAlexander

11.07.2022, 09:34

$message = $_GET['message'];

Usereingaben sollten nicht ungefiltert ineinander Datenbank übernommen werden. Besser ist

$message = htmlspecialchars($_GET['message']);

der insert lautet dann

$sql = 'INSERT INTO messages SET
user = :user,
message = :message";

//Prepared Statement
$Abfrage = $conn -> prepare($sql);
//Abfrage Schreiben auführen
$Abfrage -> execute(array(user => $user, message => $message));

gfdsgsdgsdg

Beitragsersteller

11.07.2022, 13:23

@EinAlexander

Danke, und mehr Schwachstellen fallen dir nicht auf du dir den überarbeiteten Code Anschaust ?

<?php
//Datenbank Informationen
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'Test';
//Verbinden mit Datenbank ($server $user $psw $dbName )
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
   // In Datenbank lesen 
   $sql = "SELECT * FROM messages";
   //Prepared Statement
   $Abfrage = $conn->prepare($sql);
   //Abfrage lesen auführen
   $Abfrage -> execute();
   $result = $Abfrage->fetchAll(PDO::FETCH_ASSOC);
   //Antwort von der Datenbank in das Objekt result
   //Nacheinander anzeigen
   foreach ($result as $i) {
      echo "<p class='". $i["user"]."'>".
         $i["message"] ." <br>". 
         $i["date"] .   "</p>";
   }
   // In Datenbank Schreiben
   $username = "Alice";
//cross site scripting filtern
   $message = htmlspecialchars(stripslashes(trim($_POST['message'])));

   // platzhalter mit doppelpunkt vorran für folgende namen im array , siehe $sqlvars
   $sql = "INSERT INTO messages (user,message) VALUES (:username,:message) ";
   // variablen für platzhalter als array mit "namen" 
   $sqlvars = array("username"  => $username,
                    "message"   => $message );
   //Prepared Statement
   $Abfrage = $conn->prepare($sql);
   //Abfrage Schreiben ausführen , $variablenarray übergeben , maskiert automatisch alle werte .
   $Abfrage->execute($sqlvars);

}catch (PDOException $e) {
  print "Error!: " . $e->getMessage() . "<br/>";
  exit;
}

EinAlexander

11.07.2022, 13:53

mehr Schwachstellen fallen dir nicht auf

Nein.

triopasi

Nutzer, der sehr aktiv auf gutefrage ist

im Thema programmieren

10.07.2022, 17:56

1. Der DB ordentliche Zugangsdaten geben.

2. Wenn möglich keinen root-Zugang benutzen.

3. Prepared Statements für das SQL benutzen.

4. Input validieren.

5. Input escapen.

Kurzum: Alles.

Woher ich das weiß:Studium / Ausbildung – Informatikstudium

gfdsgsdgsdg

Beitragsersteller

10.07.2022, 17:59

Der DB ordentliche Zugangsdaten geben.

Ja klar, das ist nur Lokal mit Xampp

4. Input validieren.

5. Input escapen.

Das hab ich nicht so genau verstanden, hast du vielleicht ein Beispiel ?

Und ist es dann 100% sicher vor SQL INJ. und XSS wenn ich diese 5 Punkte erledige oder gibt es da noch mehr ?

triopasi

10.07.2022, 18:23

Aktuell darf da jeder alles reinwerfen.. Aich HTML, JavaScript oder sonstwas.. das ist nicht so gut.

Wenn ich mir deinen Code so ansehe nein, du wirst wahrscheinlich in jeder Datei Sicherheitslücken einbauen. Aber zum üben am Anfang ist das i.O.

gfdsgsdgsdg

Beitragsersteller

11.07.2022, 00:47

@triopasi

Kannst du mir vielleicht sagen welche Angriffsmöglichkeiten du hier hättest ?

Also ich habe dasselbe wie oben mit PDO gemacht und Prepared Statements.

Ein Teil ist um Etwas Auszulesen mit SELECT * FROM ... und der zweite Teil um in die Datenbank einzufügen.


<?php
//Datenbank Informationen
    $server = 'localhost';
    $user = 'root';
    $psw = null;
    $dbName = 'Test';
//Verbinden mit Datenbank ($server $user $psw $dbName )
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.'', $user, $psw);
}catch (PDOException $e) {
   print "Error!: " . $e->getMessage() . "<br/>";
   die();
}




// In Datenbank lesen 
$sql = "SELECT * FROM messages";
//Prepared Statement
$Abfrage = $conn -> prepare($sql);
//Abfrage lesen auführen
$Abfrage -> execute();
$result = $Abfrage -> fetchAll();
//Antwort von der Datenbank in das Objekt result
//Nacheinander anzeigen
foreach ($result as $i) {
    echo "<p class='". $i["user"]."'>".
         $i["message"] ." <br>". 
         $i["date"] .    "</p>";
}




// In Datenbank Schreiben
$username = "Alice";
$message = $_GET['message'];

$sql = 'INSERT INTO messages SET
user = "' . $username . '",
message = "' . $message . '"';
//Prepared Statement
$Abfrage = $conn -> prepare($sql);
//Abfrage Schreiben auführen
$Abfrage -> execute();




//Verbindung mit Datenbank beenden
$conn = null;

triopasi

11.07.2022, 07:51

https://stackoverflow.com/questions/134099/are-pdo-prepared-statements-sufficient-to-prevent-sql-injection

Du benutzt keine prepared Statements. Du hast 1-zu-1 die selben Probleme wie in der ursprünglichen Frage. Alle davon sind noch da.

gfdsgsdgsdg

Beitragsersteller

11.07.2022, 13:24

@triopasi

Ok danke, wie sieht es deiner Meinung nach jetzt überarbeitet aus ?
Könnte man so veröffentlichen oder immernoch Angreifbar ?

<?php
//Datenbank Informationen
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'Test';
//Verbinden mit Datenbank ($server $user $psw $dbName )
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
   // In Datenbank lesen 
   $sql = "SELECT * FROM messages";
   //Prepared Statement
   $Abfrage = $conn->prepare($sql);
   //Abfrage lesen auführen
   $Abfrage -> execute();
   $result = $Abfrage->fetchAll(PDO::FETCH_ASSOC);
   //Antwort von der Datenbank in das Objekt result
   //Nacheinander anzeigen
   foreach ($result as $i) {
      echo "<p class='". $i["user"]."'>".
         $i["message"] ." <br>". 
         $i["date"] .   "</p>";
   }
   // In Datenbank Schreiben
   $username = "Alice";
//cross site scripting filtern
   $message = htmlspecialchars(stripslashes(trim($_POST['message'])));

   // platzhalter mit doppelpunkt vorran für folgende namen im array , siehe $sqlvars
   $sql = "INSERT INTO messages (user,message) VALUES (:username,:message) ";
   // variablen für platzhalter als array mit "namen" 
   $sqlvars = array("username"  => $username,
                    "message"   => $message );
   //Prepared Statement
   $Abfrage = $conn->prepare($sql);
   //Abfrage Schreiben ausführen , $variablenarray übergeben , maskiert automatisch alle werte .
   $Abfrage->execute($sqlvars);

}catch (PDOException $e) {
  print "Error!: " . $e->getMessage() . "<br/>";
  exit;
}

ranger1111

10.07.2022, 17:59

Ich würde eher ein Framework nehmen, welches bereits SQL Injections verhindern kann. Z.B. ein ORM Framework.

Woher ich das weiß:Studium / Ausbildung – Informatik studiert und mit PCs & Technik beschäftigt

gfdsgsdgsdg

Beitragsersteller

10.07.2022, 18:00

Aber anscheinend soll das nicht 100% Sicher sein.
Oder ist ORM nicht PDO ?

Klingt ähnlich

ranger1111

10.07.2022, 18:04

Ich weiß nicht, meine PHP-Zeit ist schon ne Weile vorbei.

Ähnliche Beiträge

Alle Tabellen bei phpMyAdmin anzeigen?

Hallo, geht es vielleicht einfacher? Mit weniger Code?

<?php
  $servername = "localhost";
  $username = "root";
  $password = "";

  // Funktion um Verbindung zu prüfen und eine Nachricht auszugeben
  function checkConnection($conn) {
    if ($conn->connect_error) {
      die("Connection failed: " . $conn->connect_error);
    }
  }

  // Verbindung herstellen
  $conn = new mysqli($servername, $username, $password);
  checkConnection($conn);

  // Alle Datenbanken abrufen
  $sql = "SHOW DATABASES";
  $result = $conn->query($sql);
  echo "<h1>Datenbanken</h1>";

  if ($result->num_rows > 0) {
    while ($row = $result->fetch_assoc()) {
      $dbname = $row['Database'];
      echo "<a href='?database=$dbname'>$dbname</a><br>";
    }
  }
  else {
    echo "Keine Datenbanken gefunden.";
  }

  $conn->close();

  // Tabellen in der gewählten Datenbank anzeigen
  if (isset($_GET['database'])) {
    $dbname = $_GET['database'];
    $conn = new mysqli($servername, $username, $password, $dbname);
    checkConnection($conn);
    $sql = "SHOW TABLES";
    $result = $conn->query($sql);
    echo "<h1>Tabellen in $dbname</h1>";

    if ($result->num_rows > 0) {
      while ($row = $result->fetch_assoc()) {
        $tablename = $row["Tables_in_$dbname"];
        echo "<a href='?database=$dbname&table=$tablename'>$tablename</a><br>";
      }
    }
    else {
      echo "Keine Tabellen gefunden.";
    }

    $conn->close();
  }

  // Einträge in der gewählten Tabelle anzeigen und Eingabefelder generieren
  if (isset($_GET['database']) && isset($_GET['table'])) {
    $dbname = $_GET['database'];
    $tablename = $_GET['table'];
    $conn = new mysqli($servername, $username, $password, $dbname);
    checkConnection($conn);
    $sql = "SELECT * FROM $tablename";
    $result = $conn->query($sql);
    echo "<h1>Einträge in $tablename bearbeiten</h1>";

    if ($result->num_rows > 0) {
      echo "<form method='POST' action='save_changes.php'>";
      echo "<table border='1'><tr>";

      // Spaltenüberschriften
      $fieldinfo = $result->fetch_fields();

      foreach ($fieldinfo as $val) {
        echo "<th>{$val->name}</th>";
      }

      echo "</tr>";

      // Daten
      while ($row = $result->fetch_assoc()) {
        echo "<tr>";

        foreach ($row as $key => $data) {
          echo "<td><input type='text' name='{$key}[]' value='$data'></td>";
        }

        echo "</tr>";
      }

      // Leeres Eingabefeld für neue Einträge hinzufügen
      echo "<tr>";

      foreach ($fieldinfo as $val) {
        echo "<td><input type='text' name='{$val->name}[]' value=''></td>";
      }

      echo "</tr>";
      echo "</table>";
      echo "<input type='hidden' name='database' value='$dbname'>";
      echo "<input type='hidden' name='table' value='$tablename'>";
      echo "<input type='submit' value='Änderungen speichern'>";
      echo "</form>";
    }
    else {
      echo "Keine Einträge gefunden.";

      // Leere Tabelle mit Eingabefeldern für neuen Eintrag anzeigen
      echo "<form method='POST' action='save_changes.php'>";
      echo "<table border='1'><tr>";

      foreach ($fieldinfo as $val) {
        echo "<th>{$val->name}</th>";
      }

      echo "</tr><tr>";

      foreach ($fieldinfo as $val) {
        echo "<td><input type='text' name='{$val->name}[]' value=''></td>";
      }

      echo "</tr></table>";
      echo "<input type='hidden' name='database' value='$dbname'>";
      echo "<input type='hidden' name='table' value='$tablename'>";
      echo "<input type='submit' value='Änderungen speichern'>";
      echo "</form>";
    }

    $conn->close();
  }
?>

PHP/MySql wie überprüfen ob Nutzername bereits vergeben?

Wie würde ich das hier am besten mit einer If-Abfrage überprüfen bevor es etwas in die SQL Datenbank schreibt ?

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestDatenbank';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

// POST wird mit AJAX gesendet
   $username = htmlspecialchars(stripslashes((trim($_POST["username"])))) ;
   $password =  password_hash(htmlspecialchars(stripslashes((trim($_POST["password"])))) ,PASSWORD_DEFAULT) ;
   $cash =     100;

// Schreibt in die Datenbank

   $sql = "INSERT INTO user (username,password,cash) VALUES (:username,:password,:cash) ";
   $sqlvars = array("username"  => $username,
   "password" => $password,
   "cash" => $cash);
   $Abfrage = $conn->prepare($sql);
   $Abfrage->execute($sqlvars);


}catch (PDOException $e) {
  print "Error!: " . $e->getMessage() . "<br/>";
  exit;
}

Warum kann dieser php code keine Verbindung zur Datenbank herstellen?

Ich sitze hier und verzweifle förmlich daran, warum sich die eingegebenen Daten aus:

<!DOCTYPE html>
<html>
  <head>
    <h1>Der Weg ins Paradies</h1>
    <link rel="stylesheet" href="GL.css">
  </head>
    <p>Die Welt dadraußen ist trist, doch <br> sein kein Schaf, sei ein Wolf</p>
    <form method="post" action="Registrierungsseite.php">
      <p><label>Name:<br><input type="text" name="Name"></label></p>
      <p><label>E-Mail:<br><input type="text" name="Mail"></label></p>
      <p><label>Passwort:<br><input type="password" name="Passwort"></label></p>
      <p><label>IBAN:<br><input type="text" name="IBAN"></label></p>
      <p><input type="submit" value="Registrieren"></p>
    </form>
  </body>
</html>

nicht in der MySQL-Datenbank wiederfinden.

Meine PHP-Datei ist diese hier:

<?php
  // Get the form data
  $name = $_POST['name'];
  $email = $_POST['email'];
  $password = $_POST['password'];
  $iban = $_POST['iban'];

  // Connect to the MySQL database
  $db = mysqli_connect("localhost", "root", "", "paradies");

  // Check if the connection was successful
  if (mysqli_connect_errno()) {
    // If the connection failed, display an error message and exit
    echo "Failed to connect to MySQL: " . mysqli_connect_error();
    exit;
  }

  // Insert the form data into the MySQL database
  $query = "INSERT INTO paradies (name, email, password,iban) VALUES ('$name', '$email', '$password', '$iban')";

  if (mysqli_query($db, $query)) {
    // If the insert was successful, redirect the user to the login page
    header("Location: GL.php");
    exit;
  }
  else {
    // If the insert failed, display an error message
    echo "Error: " . $query . "<br>" . mysqli_error($db);
  }

  // Close the MySQL connection
  mysqli_close($db);
?>

Ich sehe den Fehler einfach nicht, da sobald man die Daten absendet, es zwar zur PHP-Datei weitergeleitet wird, dann jedoch lediglich der Code zu sehen ist. Die Datenbank hat dann natürlich auch keinen Eintrag.

Danke im Voraus.

SQL Code richtig?

Hier ist PHP Code, den ich geschrieben hab:

$connection = new mysqli("localhost", "...", "...", "...");
$username = $_POST['username'];
$email = $_POST['email'];
$password = $_POST['password'];
$time = time();
$sql = "INSERT INTO User (Name, Email, Password, Created) VALUES ($username, $email, $password, $time)";
$connection->query($sql);
$connection->close();

Aber der sagt dann dass im SQL Code

$sql = "INSERT INTO User (Name, Email, Password, Created) VALUES ($username, $email, $password, $time)";

Ein Syntax Fehler ist.

Wo ist der Fehler?

Delete/Insert/Update/Search, altmodisch gelöst? Verbesserungsvorschläge?

Mehrere Formularfunktionen in PHP:

Delete:

  if ($_SERVER["REQUEST_METHOD"] == "POST" && isset($_POST["kunden_id"])) {
    $kunden_id = $_POST["kunden_id"];
    $sql = "DELETE FROM kunden WHERE kunden_id=$kunden_id";

    if ($conn->query($sql) === TRUE) {
      echo "Record deleted successfully";
    }
    else {
      echo "Error deleting record: " . $conn->error;
    }
  }

  $conn->close();
?>

Insert:

  if ($_SERVER["REQUEST_METHOD"] == "POST") {
    $vname = $conn->real_escape_string($_POST['vname']);
    $nname = $conn->real_escape_string($_POST['nname']);
    $age = $conn->real_escape_string($_POST['age']);
    $sql = "INSERT INTO kunden (vname, nname, age) VALUES ('$vname', '$nname', '$age')";

    if ($conn->query($sql) === TRUE) {
      echo "Neuer Kunde erfolgreich hinzugefügt";
    }
    else {
      echo "Fehler: " . $sql . "<br>" . $conn->error;
    }
  }

  $conn->close();
?>

Update:

  if ($_SERVER["REQUEST_METHOD"] == "POST" && isset($_POST["kunden_id"]) && isset($_POST["vname"]) && isset($_POST["nname"]) && isset($_POST["age"])) {
    // Kunden-ID und neue Daten aus dem Formular abrufen
    $kunden_id = $_POST["kunden_id"];
    $vname = $_POST["vname"];
    $nname = $_POST["nname"];
    $age = $_POST["age"];

    // SQL-Update-Statement vorbereiten
    $sql = "UPDATE kunden SET vname='$vname', nname='$nname', age='$age' WHERE kunden_id=$kunden_id";

    if ($conn->query($sql) === TRUE) {
      echo "Record updated successfully";
    }
    else {
      echo "Error updating record: " . $conn->error;
    }
  }

  $conn->close();
?>

Search:

  if (isset($_POST['search'])) {
    $search = $_POST['search'];
    $sql = "SELECT kunden_id, vname, nname, age FROM kunden WHERE nname LIKE '%$search%' ORDER BY kunden_id";
  }
  else {
    $sql = "SELECT kunden_id, vname, nname, age FROM kunden ORDER BY kunden_id";
  }

  $result = $conn->query($sql);

  if ($result->num_rows > 0) {
    echo "<table border='1'>
      <tr>
        <th>Kunden ID</th>
        <th>Vorname</th>
        <th>Nachname</th>
        <th>Alter</th>
      </tr>";

    while ($row = $result->fetch_assoc()) {
      echo "<tr>
        <td>" . $row["kunden_id"]. "</td>
        <td>" . $row["vname"]. " </td>
        <td>" . $row["nname"]. "</td>
        <td>" . $row["age"]. "</td>
      </tr>";
    }

    echo "</table>";
  }
  else {
    echo "0 Ergebnisse";
  }

  $conn->close();
?>
<form method="post">
  <input type="text" name="search" placeholder="Nachname eingeben...">
  <button type="submit">Suchen</button>
</form>

Suchfunktion mit PHP Version 7.1.12 und MySQL?

Hallo,

ich habe mir letztens auf YouTube ein Video angeschaut, wie man mit Hilfe von PHP eine MySQL-Datenbank durchsucht. Ich habe es selber ausprobiert, doch musste leider feststellen, dass der Code nicht für meine PHP-Version (7.1.12) geeignet ist.

Also habe ich versucht ihn umzuschreiben. Das hat aber leider nicht geklappt.

<html>
  <head>
    <title>Suche</title>
  </head>
  <body>
    <form action="" method="get">
      <input type="text" name="suchfeld"/>
      <input type="submit" name="suche_enter" value="suchen"/>
    </form>
    <hr /><br />
    <?php
      if (isset($_GET['suche_enter'])) {
        $host = "localhost";
        $user = "root";
        $pass = "";
        $db = "test_db";
        $conn = new mysqli($host, $user, $pass, $db);

        if ($conn->connect_errno) {
          die("Verbindung fehlgeschlagen: " . $mysqli->connect_error);
        }

        $suchbegriff = trim(htmlentities(stripslashes(mysqli_real_escape_string($_GET['suchfeld']))));
        $sql = "SELECT headline, text FROM article WHERE
          headline LIKE '%$suchbegriff%' OR
          image LIKE '%$suchbegriff%' OR
          overtext LIKE '%$suchbegriff%' OR
          text LIKE '%$suchbegriff%' OR
          gender1 LIKE '%$suchbegriff%' OR
          gender2 LIKE '%$suchbegriff%'
          ORDER BY headline, gender1, overtext, text, gender2, image";
        $query = mysqli_query($sql);

        echo "<ul>";

        WHILE ($row = mysqli_fetch_assoc($query)) {
          $headline = $row['headline'];
          $overtext = $row['overtext'];
          $text = $row['text'];

          echo "<li>$headline <br /><br />$overtext<br /><br /><hr /><br /></li>";
        }

        echo "</ul>";
      }
    ?>
  </body>
</html>

Wie müsste der Code richtig aussehen?

MySQL Ausgabe in PHP funktioniert nicht (Ausgabe = leer)?

Ich möchte über einen Select was in PHP ausgeben. Bei mir sieht alles wie folgt aus:

?php
$servername = server
$username = user
$password = pw
$dbname = db

$link = mysqli_connect($servername, $username, $password, $dbname);
 
// Check connection
if($link === false){
    die("ERROR: Could not connect. " . mysqli_connect_error());
}

$bla =  "SELECT wasauchimmer FROM Accounts where User = 'Testuser'";

foreach ($link->query($bla) as $row) {

   echo $row[wasauchimmer];

}
 
// Close connection
mysqli_close($link);
?

Die Verbindung funktioniert, Update und Insert Befele funktionieren auch. Nur ist die Ausgabe auf meinem Webspace einfach leer - keine Fehlermeldung, garnichts. (Am Anfang und Ende habe ich das obligatorische <?php ?> gesetzt, nur wird das hier anscheinend dank <> nicht richtig interpretiert. Einfach ignorieren)

PHP MySql Login / Passwort überprüfung?

Kann mir da jemand sagen wo der Fehler liegt ? Ich bin da am verzweifeln.

Login, Registrierung, Fehlermeldung, SQL Struktur habe ich alles in die Frage gepackt damit ihr einen besseren überblick habt.

login.php:

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestApp';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

    $username = htmlspecialchars(stripslashes(trim($_POST['username'])));
    $password = htmlspecialchars(stripslashes(trim($_POST['password'])));

    $statement = $pdo->prepare("SELECT * FROM user WHERE username = :username");
    $result = $statement->execute(array('username' => $username
                                    ));
    $user = $statement->fetch();
    //Überprüfung des Passworts
    if ($user !== false && password_verify($username, $password['passwort'])) {
        $_SESSION['userid'] = $user['id'];
        die('Login erfolgreich. Weiter zu <a href="geheim.php">internen Bereich</a>');
    } else {
        $errorMessage = "Nutzername oder Passwort war ungültig<br>";
    }

}catch (PDOException $e) {
    print "Error!: " . $e->getMessage() ;
    exit;
  }

Konsole :

<br />
<b>Warning</b>: Undefined variable $pdo in <b>C:\xampp\htdocs\Test\assets\php\login.php</b> on line <b>14</b><br />
<br />
<b>Fatal error</b>: Uncaught Error: Call to a member function prepare() on null in C:\xampp\htdocs\Test\assets\php\login.php:14
Stack trace:
#0 {main}
 thrown in <b>C:\xampp\htdocs\Test\assets\php\login.php</b> on line <b>14</b><br />

register.php

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestApp';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

// POST wird mit AJAX gesendet
   $username = htmlspecialchars(stripslashes((trim($_POST["username"])))) ;
   $password =  password_hash(htmlspecialchars(stripslashes((trim($_POST["password"])))) ,PASSWORD_DEFAULT) ;
   $cash =     100;

// Schreibt in die Datenbank

   $sql = "INSERT INTO user (username,password,cash) VALUES (:username,:password,:cash) ";
   $sqlvars = array("username"  => $username,
   "password" => $password,
   "cash" => $cash);
   $Abfrage = $conn->prepare($sql);
   $Abfrage->execute($sqlvars);


}catch (PDOException $e) {
  print "Error!: " . $e->getMessage() . "<br/>";
  exit;
}

SQL STRUKTUR :

Datenbankname : Test

Tabelle : user , 5 Spalten/Rows

id | int , (auto increment)
username | varchar , (unique)
password | varchar, (gehasht mit salt sha512)
cash | varchar
time | datetime, (mit current time stamp)

und ich mache alles mit AJAX.

-PDO statt mysqli

Wie kann ich den Fehler beheben?

const http = require('http');
const fs = require('fs');
const mysql = require("mysql2");

var db  = mysql.createConnection({
    host : "localhost",
    user : "root",
    password : "passwort",
    database : "test-datenbank"
});


db.connect(function (error){
    if (error) throw error;
    console.log("Connected!")
    var sql = "INSERT INTO benutzer (username) VALUES ('Beispiel')";
    db.query(sql, function (error,result){
        if(error) throw error;
        console.log("1 record inserted");
    });
    sql="SELECT * FROM benutzer"
    
    db.query(sql,function(error,result){
        if (error) throw error;
        console.log(result);

    });
});

const server = http.createServer((req,res) => {
    const url = req.url;
    const method = req.method;
    

    if ( url === "/"){
    res.setHeader("key","value");
    res.setHeader("Content-Type","text/html");
    res.write('</html><body>');
    res.write('<h1>Main</h1>');
    res.write('<h1><form action="/register" method="post"> <input type="text" name="Username"><br><button type="submit">Click</button></form></h1>');
    res.write("</body></html>");
    res.end()
    return;
    }

    if (url === "/register"){
         
        const reqBody = []
         req.on('data', (chunk)=>{
            console.log(chunk);
            reqBody.push(chunk);
     });
        
     req.on('end', () => {
        console.log(reqBody);
        const parsed = Buffer.concat(reqBody).toString();
        console.log(parsed);
        const user = parsed.split('=')[1];
        console.log(user)
        
        // funktioniert nicht 
        sql = 'INSERT INTO benutzer (username) VALUES ?, user;
        db.query(sql,function(error,result){
            if (error) throw error;
            console.log(result);
        });



});
        
        
        res.setHeader("key","value");
        res.setHeader("Content-Type","text/html");
        res.write('</html>');
        res.write('<body><h1>Registriert</h1></body>');
        res.write("</html>");
        res.end()
        return;

    }
    
}) 



server.listen(1337);

Der Fehler lautet wie folgt:

code: 'ER_PARSE_ERROR',

errno: 1064,

sqlState: '42000',

sqlMessage: "You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1",

sql: 'INSERT INTO benutzer (username) VALUES',

fatal: true

Fehler bei password verify php?

Ich habe ein Testprogramm geschrieben, in dem man ein Passwort eingibt, dass dann gehasht in einer Datenbank gespeichert wird. Wenn ich mit dem Passwort vergleiche kommt aber nicht true sondern false raus. Das ganze habe ich in WebFTP gemacht.

Als Ausgabe bekomme ich:

123456789 $2y$10$4TMgUO3xGJMCy5iZnd6Be.TBRkIO2Z55GGwgQ5oeToD.ryJZAvvte Richtig In Datenbank übertragen $2y$10$4TMgUO3xGJMCy5iZnd6Be.TBRkIO2Z55GGwgQ5oeToD.ryJZAvvte Falsch Richtig übertragen

Bedeutet das gehashte Passwort wurde richtig gespeichert, aber passwort verify hat beim zweiten mal false zurück gegeben.

Hier ist der php Teil dazu:

<?php
if (isset($_POST["start"])) {
    $password = $_POST["password"];
    $email = $_POST["email"];
    echo $password . " ";
    $passwordHash = password_hash($password, PASSWORD_DEFAULT);
    echo $passwordHash . " ";
    if (password_verify($password, $passwordHash)){
        echo "Richtig ";
    }else{
        echo "Falsch ";
    }
    require_once "data.php"; //Hier wird die Datenbankverbindung gespeichert
    $statement = $pdo->prepare("INSERT INTO tab (email, password) VALUES (?, ?)");
    $statement->execute(array($email, $passwordHash));
    if ($statement){
        echo "In Datenbank übertragen ";
        $sql = "SELECT * FROM tab WHERE email='$email'";
        $user = $pdo->query($sql)->fetch();
        $passwordTest = $user["password"];
        echo $passwordTest . " ";
        if (password_verify($password, $passwordTest)){
            echo "Richtig ";
        }else{
            echo "Falsch ";
            if ($passwordHash == $passwordTest){
                echo "Richtig übertragen ";
            }else{
                echo "Falsch übertragen ";
            }
        }
        die();
    }else{
        die("Es ist etwas schief gelaufen");
    }
}
?>

PHP Fehler?

Guten Abend, ich habe ein kleines Problem mit meinem PHP Code.

Error:

Warning: Array to string conversion in C:\Users\ali20\Documents\Video Platform\Player\index.php on line 6

Warning: Undefined property: stdClass::$Array in C:\Users\ali20\Documents\Video Platform\Player\index.php on line 6

Warning: Trying to access array offset on value of type null in C:\Users\ali20\Documents\Video Platform\Player\index.php on line 6

Warning: Attempt to read property "name" on null in C:\Users\ali20\Documents\Video Platform\Player\index.php on line 6
Error 723#1

index.php:

<?php
$data = file_get_contents("../SystemData.json");
$data = json_decode($data);
if(isset($_GET['title'])){
  if(!empty($_GET['title'])){
    $checkTitle = $data->$_GET['title']->name;
    if(isset($checkTitle)){
      $title = $_GET['title'];
    }else{
      echo "Error 723#1";
      exit;
    }
  }else{
    echo "Error 723#2";
    exit;
  }
}else{
  echo "Error 723#3";
  exit;
}
?>

SystemData.json:

{
    "7293746918450916": {
        "name": "Ein Film Name",
        "poster": "x",
        "source": "film.mp4"
    }
}

Aufgerufene URL:

http://localhost:3000/Player/index.php?title=7293746918450916

login system geht nicht?

Hi ich habe ein sign up und login system für eine website mithilfe von xamp, mysqli und php gebaut, dass signup system mit error messages und allem funktioniert auch, aber das login system nicht. Wenn ich mich versuche einzuloggen passiert nichts und wenn ich absichtlich falsche login daten eingebe passiert ebenfalls nichts. Ich weiß nicht woran das liegt und bräuchte echt hilfe. Wenn jemand meinen Code braucht einfach bescheid sagen :/

Wie kann der eingegebene Eintrag nach Bestätigung in die Datenbank gespeichert werden?

Hallo,

mit folgendem Code scheint es nicht zu funktionieren, dass die Eingabe nach Bestätigungsfrage nicht in der Datenbank aktualisiert. Warum? Bin neu in PHP
Danke!

if ($name_select && $name_select !== $_POST["name"]) {

// Meldung ausgeben, dass bereits ein Eintrag vorhanden ist

echo "Es ist bereits ein Eintrag in der Spalte $column_name vorhanden. Möchten Sie den Eintrag wirklich überschreiben?";

echo "<form action='putzgruppen.php' method='post'>";

echo "<input type='hidden' name='name' value='" . $_POST["name"] . "'>";

echo "<input type='hidden' name='column_name' value='" . $column_name . "'>";

echo "<input type='submit' name='confirm' value='Ja'>";

echo "<input type='submit' name='cancel' value='Nein'>";

echo "</form>";

} else {

if ($count == 0) {

// Einfügen des Namens in die Datenbank

$name = $_POST["name"];

$sql = "INSERT INTO Putzgruppe ($column_name) VALUES ('$name')";

if (mysqli_query($conn, $sql)) {

echo "Daten erfolgreich gespeichert.";

header("Location: putzgruppen.php"); // Weiterleitung zur Datenbankseite

exit(); // Beenden des Skripts, um ein weiteres Ausführen zu verhindern

} else {

echo "Fehler: " . $sql . "<br>" . mysqli_error($conn);

}

} else {

if(isset($_POST['confirm'])) {

// Aktualisierung des bestehenden Eintrags

$name = $_POST["name"];

$column_name = $_POST["column_name"];

$sql = "UPDATE Putzgruppe SET $column_name='$name' WHERE $column_name='$name_select'";

if (mysqli_query($conn, $sql)) {

echo "Daten erfolgreich aktualisiert.";

header("Location: putzgruppen.php"); // Weiterleitung zur Datenbankseite

exit(); // Beenden des Skripts, um ein weiteres Ausführen zu verhindern

} else {

echo "Fehler: " . $sql . "<br>" . mysqli_error($conn);

}

} else {

echo "Das Eingabefeld ist leer.";

}

Hallo ich Möchte gerne die 10 Größten Werte aus meiner DB ausgeben?

Hallo :) ich möchte gerne die 10 user mit den Meisten Coins ausgeben.

wie mach ich das genau mit PHP?

Dieses Script gibt mir alle User aus .. ich möchte aber nur die 10 User mit den Meisten Coins ausgeben? Jemand ne Antwort?

<?php $pdo = new PDO('mysql:host=localhost;dbname=test', 'username', 'password');

$sql = "SELECT * FROM users"; foreach ($pdo->query($sql) as $row) { echo $row['coins']." ".$row['id']."
"; echo "E-Mail: ".$row['email']."

"; } ?>