Mysql error den ich mir nicht erklären kann

Kori · 14.09.2006, 10:48

Die über get gesendete Adresse sieht wie folgt aus:

admin.php?id=4&name=test&pw=test&mail=test%40test. de&abschickenloginbearbeiten=Feuer

php dazu um dies abzufangen und in mysql einzutragen:

PHP-Code:

  if (isset($_GET['abschickenloginbearbeiten'])){

$name = $_GET['name'];

$pw = $_GET['pw'];

$id = $_GET['id'];

$mail = $_GET['mail'];

$eintragen33 = "UPDATE $table2 Set nick = $name WHERE id = '$id'";

$eintragen44 = "UPDATE $table2 Set pw = $pw WHERE id = '$id'";

$eintragen55 = "UPDATE $table2 Set mail = $mail WHERE id = '$id'";

$fun1 = mysql_query($eintragen33);

echo mysql_errno() . ": " . mysql_error(). "\n";

$fun2 = mysql_query($eintragen44);

echo mysql_errno() . ": " . mysql_error(). "\n";

$fun3 = mysql_query($eintragen55);

echo mysql_errno() . ": " . mysql_error(). "\n";

 
 
}

Fehler:

1054: Unknown column 'test' in 'field list'
1054: Unknown column 'test' in 'field list'
1064: You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near '@test.de WHERE id = '4'' at line 1

Mysql db Struktur:

CREATE TABLE `list_login` (
`id` int(11) NOT NULL auto_increment,
`nick` text NOT NULL,
`pw` text NOT NULL,
`mail` text NOT NULL,
PRIMARY KEY (`id`)
) TYPE=MyISAM AUTO_INCREMENT=7 ;

Hoffe mir kann jemand helfen, wenn noch sachen fehlen zum beheben, bitte posten. Ich kom auf den fehler einfach nicht!

mfg

tekknotrip · 14.09.2006, 11:06

Das Script würde ich nochmal überdenken.
Ich könnte es problemlos hacken:
Beispiel User id 4 möchte ich jetzt zu meinem Zugang machen, da ich vin id4 das Passwort nicht weis. Also

admin.php?id=4&name=ich&pw=meinpasswort&mail=test% 40test.de&abschickenloginbearbeiten=Feuer

id4 wird nun mit meinem Login überschrieben und ich habe sämtliche Zugriffsrechte des id4....Simplerweise ist id=1 immer der Admin

pw=txt?

Kori · 14.09.2006, 11:09

Keiner kennt die admin adresse ausser ich & die admin datei liegt in nem htaccess geschützen Ordner, somit da schonmal keine Gefahr, problem ist durch deine message nun leider nicht im geringsten verbessert wurden. Wieso pw nicht Text? Du weist doch gar nicht um was für ein Projekt es sich handelt. Denn in meinem Projekt verteile Ich die pws

und da ist das ganz nützlich zu sehen welche man wo vergeben hat und so die nachträglich verändern kann.

So bitte back²topic, ich hab den Fehler nämlich selbst immer noch nicht gefunden..

mfg
Kori

Der_Gerhard · 14.09.2006, 11:29

Ich würde die zu setzende EMail-Adresse und das PW etc. mal in ' ' setzen. Sonst steht da irgendein Schotter drin, der zu lustigen Ergebnissen führt.

Irgendwelche Escape-Funktionen wären vielleicht auch net verkehrt.

Warum machst Du jedes Feld in einem einzelnen Query?

Und warum gibst Du mysql_error() jedesmal aus, ohne überhaupt das Ergebnis von mysql_query() zu prüfen?

Kori · 14.09.2006, 11:58

Alles umgesetzt, funktioniert immer noch nicht :/

Der_Gerhard · 14.09.2006, 12:01

Dann zeig mal den korrigieren Code.

Grandios finde ich, dass Id das einzige numerische Feld in der Tabelle ist, Du aber id='$id' schreibst, während Du bei allen Text-Feldern die '' weglässt.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[Erledigt] Kein Ergebnis bei SELECT (MySQL 4.1.9)	dr.e.	Datenbanken	4	15.06.2008 19:54
[Erledigt] MySQL - ERROR 1044 bei erstellen einer Datenbank	_youngenterpriser_	Datenbanken	2	05.02.2008 17:56
Mysql Server Einstellunen Optimieren	pchero	Datenbanken	3	01.05.2007 19:50
[Erledigt] MYSQL Problem		Datenbanken	4	09.02.2006 15:14
Kein Zugriff über ODBC mit der IP-Adresse auf MySql DB		Datenbanken	4	09.02.2006 11:04
[Erledigt] Zu blöd um MySQL in PHP einzurichten? Apache Server		PHP Tipps 2006	18	30.01.2006 23:39
[Erledigt] Mysql 4.1.x unter php 4.3.9		Datenbanken	3	15.11.2005 13:49
Wieso funktioniert mein MySQL nicht mehr ?	Skazi	Datenbanken	1	09.11.2005 14:49
Schnittstelle zwischen PHP und MySQL klappt net !!!		Datenbanken	16	16.10.2005 14:24
[Erledigt] not allowed to connect to this MySQL server		PHP Tipps 2005-2	2	23.09.2005 18:34
Suche Tipps für Persormance-Steigerung (Geld für Nützliches)		Beitragsarchiv	18	16.08.2005 10:57
MYSQL läuft nur wenn /tmp auf 777		Datenbanken	5	06.07.2005 08:38
mysql root passwort vergessen		Datenbanken	1	29.05.2005 11:33
Access denied for user: '@localhost' / SYSTEM@localhost		Datenbanken	0	10.11.2004 20:35
[Erledigt] PHP5 &amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;a m p; MySQL		Datenbanken	5	01.08.2004 05:47

14.09.2006, 10:48
Kori Erfahrener Benutzer Registriert seit: 16.03.2004 Beiträge: 170	Mysql error den ich mir nicht erklären kann Die über get gesendete Adresse sieht wie folgt aus: admin.php?id=4&name=test&pw=test&mail=test%40test. de&abschickenloginbearbeiten=Feuer php dazu um dies abzufangen und in mysql einzutragen: PHP-Code: if (isset($_GET['abschickenloginbearbeiten'])){ $name = $_GET['name']; $pw = $_GET['pw']; $id = $_GET['id']; $mail = $_GET['mail']; $eintragen33 = "UPDATE $table2 Set nick = $name WHERE id = '$id'"; $eintragen44 = "UPDATE $table2 Set pw = $pw WHERE id = '$id'"; $eintragen55 = "UPDATE $table2 Set mail = $mail WHERE id = '$id'"; $fun1 = mysql_query($eintragen33); echo mysql_errno() . ": " . mysql_error(). "\n"; $fun2 = mysql_query($eintragen44); echo mysql_errno() . ": " . mysql_error(). "\n"; $fun3 = mysql_query($eintragen55); echo mysql_errno() . ": " . mysql_error(). "\n"; } Fehler: 1054: Unknown column 'test' in 'field list' 1054: Unknown column 'test' in 'field list' 1064: You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near '@test.de WHERE id = '4'' at line 1 Mysql db Struktur: CREATE TABLE `list_login` ( `id` int(11) NOT NULL auto_increment, `nick` text NOT NULL, `pw` text NOT NULL, `mail` text NOT NULL, PRIMARY KEY (`id`) ) TYPE=MyISAM AUTO_INCREMENT=7 ; Hoffe mir kann jemand helfen, wenn noch sachen fehlen zum beheben, bitte posten. Ich kom auf den fehler einfach nicht! mfg


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

14.09.2006, 11:06
tekknotrip Erfahrener Benutzer Registriert seit: 23.08.2004 Beiträge: 175	Das Script würde ich nochmal überdenken. Ich könnte es problemlos hacken: Beispiel User id 4 möchte ich jetzt zu meinem Zugang machen, da ich vin id4 das Passwort nicht weis. Also admin.php?id=4&name=ich&pw=meinpasswort&mail=test% 40test.de&abschickenloginbearbeiten=Feuer id4 wird nun mit meinem Login überschrieben und ich habe sämtliche Zugriffsrechte des id4....Simplerweise ist id=1 immer der Admin pw=txt?

14.09.2006, 11:09
Kori Erfahrener Benutzer Registriert seit: 16.03.2004 Beiträge: 170	Keiner kennt die admin adresse ausser ich & die admin datei liegt in nem htaccess geschützen Ordner, somit da schonmal keine Gefahr, problem ist durch deine message nun leider nicht im geringsten verbessert wurden. Wieso pw nicht Text? Du weist doch gar nicht um was für ein Projekt es sich handelt. Denn in meinem Projekt verteile Ich die pws und da ist das ganz nützlich zu sehen welche man wo vergeben hat und so die nachträglich verändern kann. So bitte back²topic, ich hab den Fehler nämlich selbst immer noch nicht gefunden.. mfg Kori

14.09.2006, 11:29
Der_Gerhard Erfahrener Benutzer Registriert seit: 08.11.2004 Beiträge: 2.079	Ich würde die zu setzende EMail-Adresse und das PW etc. mal in ' ' setzen. Sonst steht da irgendein Schotter drin, der zu lustigen Ergebnissen führt. Irgendwelche Escape-Funktionen wären vielleicht auch net verkehrt. Warum machst Du jedes Feld in einem einzelnen Query? Und warum gibst Du mysql_error() jedesmal aus, ohne überhaupt das Ergebnis von mysql_query() zu prüfen? __________________ ******************************** Nein, ich bin nicht die Signatur. Ich putze hier nur. ********************************

14.09.2006, 11:58
Kori Erfahrener Benutzer Registriert seit: 16.03.2004 Beiträge: 170	Alles umgesetzt, funktioniert immer noch nicht :/

14.09.2006, 12:01
Der_Gerhard Erfahrener Benutzer Registriert seit: 08.11.2004 Beiträge: 2.079	Dann zeig mal den korrigieren Code. Grandios finde ich, dass Id das einzige numerische Feld in der Tabelle ist, Du aber id='$id' schreibst, während Du bei allen Text-Feldern die '' weglässt. __________________ ******************************** Nein, ich bin nicht die Signatur. Ich putze hier nur. ********************************