[Erledigt] sql - Variable ??

Exception · 19.02.2010, 19:24

Liebe User,

ich denke, dass das eine Anfänger Frage ist *hihi* ... ich bin ziemlich neu in php, programmiere sonst in C++/C# Webanwendungen asp/aspx ...

Zu meiner Frage:

Ich hab ne register form" vo man einfach in die Datenbank werte einfügt.. klappt auch alles wunderbar ohne problem. Jetzt ändert einer der Adminuser die Daten, und es soll aber eine mail auf die angegebene Benutzermailadresse in der Datenbank automatisch ein mail geschickt werden. Das Mail senden alles hab ich absolut ohne Probleme hinbekommen, nur liest er die Mailadresse nicht wirklich aus der Datenbank aus ..

Hab mal was davon gehört, dass wenn ich die Variable vorerst nicht definiere, dass es da böse Probleme geben kann ?! Aber die Variable muss ich ja nicht definieren, denn die entsteht ja erst beim auslesen, oder ??

PHP-Code:

  $username = $_POST['username'];
$password = $_POST['password'];

mysql_select_db($mysqldb, $connection) or die("Konnte die Verbindung nicht aufbauen.");

$usermail = mysql_query("SELECT email FROM wts_adminusers WHERE email='$username'");
$userdb = mysql_query("SELECT username FROM wts_adminusers WHERE username='$username'");
$userpw = mysql_query("SELECT password FROM wts_adminusers WHERE password='$password'");

$user = mysql_fetch_object($userdb);
$userpass = mysql_fetch_object($userpw);
$mail = mysql_fetch_object($usermail);

$mailing = $mail->email;

if($user->username == $username && $userpass->password == $password){

echo "<script>alert(\"Adminuser wurde aus der Datenbank geloescht !, $mailing\");</script>";
mysql_query("DELETE FROM wts_adminusers WHERE username='$username'");

Nicht wundern ... habs jetzt mal nur ausgeben lassen, weils eben mit der mail nicht funktioniert hat .. und hab extra ne eigene variable $mailing dafür definiert, aber funktioniert leider auch nicht...

Hier entsteht die variable "$usermail" ja erst bei der Abfrage bzw. beim auslesen:

PHP-Code:

  $usermail = mysql_query("SELECT email FROM wts_adminusers WHERE email='$username'");

Aber anscheinend funktioniert dies nicht, weil kein Ergebnis rauskommt. bzw. das Ergebnis ist leer...

Muss man die Variable vorher definieren ? und wenn ja, wie ?

danke & lg,

Exception

Yoshi- · 19.02.2010, 19:42

http://www.php.de/php-einsteiger/489...rundlagen.html

Exception · 19.02.2010, 19:50

Danke, Yoshi.

Es tut mir leid, aber es scheint auch hier ein guter "Gag" zu sein irgendwelche Links reinzusetzen, damit man am Ende noch mehr deprimiert ist als vorher... Ich kann euch sagen: Das mag keiner ....

Es ist mir klar, dass php-Profis hier nicht immer alles erklären wollen, aber wenn man dann eine Antwort gibt (oder sich dazu überwindet) wäre es doch nicht zu viel erwartet, dass diese vielleicht noch iene konstruktive Lösung des Problems aufweist und nicht einfach nur ein link, wo man als Anfänger zurückgestuft wird ?! ...

Man ist doch hier, wenn man sich schon als "Profi" betitelt, dass man anderen usern helfen kann und nicht nur um Links einzufügen ?

Es tut mir wirklich leid, wenn das so eine blöde Frage ist, dass ein Link mit "Lerne Grundlagen" als Antwort genügt...

Aber vielleicht kann mir doch noch ein User hier eine konstruktive Lösung meines kleinen Problems bieten ..

Danke im Vorraus,

Exception

Exituz23 · 19.02.2010, 20:03

Fangen wir mal an.
Wieso machst du für jedes Feld (mail,db,passwort) eine eigene Abfrage?
Die liegen eh alle in einer Tabelle, da reicht eine Abfrage vollkommen zu.
Und selbst wenn nicht: JOIN
Und das ganze holst du dir dann z.B. mittels
mysql_fetch_array

Übernimmst du die $_POST Daten wirklich komplett ungefiltert?

Edit: Reines Linkposten find ich persönlich auch nicht so, sagen wir toll

_cyrix_ · 19.02.2010, 20:05

hast du dir die variablen mal via var_dump ausgeben lassen ?

wenn ja, was passiert .,.

email = username ? ist das wirklich so gewollt ?

sql injection scheint dir auch ein fremdbegriff zu sein

Exception · 19.02.2010, 20:33

@exituz: herzlichen Dank, das nennt man ne super, durchaus akzeptable und konstruktive Antwort, warum kann es nicht mehr von diener Art geben

... Hab eine Abfrage gemacht und mit dieser alle Werte ausgelesen, jetzt funktioniert auch alles

Danke !

@cyrix: nein, injections sind mir kein fremdbegriff, aber wie gesagt, das problem hat sich erl.

Lg,

Exception

nikosch · 19.02.2010, 20:38

Tja, das Problem mit den Injections aber nicht. Es sei denn, Du nimmst die Anwendung vom Netz.

Asipak · 19.02.2010, 20:39

Zitat:

@cyrix: nein, injections sind mir kein fremdbegriff, aber wie gesagt, das problem hat sich erl.

Diese Form der Injection ist keineswegs positiv zu verstehen. Deine SQL-Abfragen sehen jedenfalls nicht so aus, als wüsstest du, was in diesem Fall gemeint ist: PHP: SQL Injection - Manual .

Yoshi- · 19.02.2010, 22:11

Der ganze Code ergibt keinen Sinn.
$userdb = mysql_query("SELECT username FROM wts_adminusers WHERE username='$username'");

fragt alle Spalten ab wo der username gleich $username ist.

Also ist $user->username nun das gleiche was auch in $username steht und dann ist auch $user->username == $username immer wahr, das gilt auch für die anderen Spalten.

Außerdem scheint deine Db nicht richtig zu sein.
Eine Extra Spalte wo nur Admins drin stehen ist überflüßig.

Exception · 20.02.2010, 04:03

Hello,

@nikosch & Asipak: Wer milw0rm kennt, weiß, was Injections sind, aber danke

@Yoshi: Naja wer sagt dass das "mein" Code ist ... ich "studiere" andere Scripts um ..ehm... wie gesagt

Lg,

Exception
CrackTimeCrew - we crack the world

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Datensatz als Variable in CSS	hallophp	PHP Tipps 2009	2	30.09.2009 19:19
[Erledigt] variable setzen wenn nachfolgende variable nicht leer	taurus	PHP Tipps 2009	4	14.05.2009 22:24
Problem Undefined variable:	banbanban	PHP Tipps 2009	5	04.03.2009 17:55
Variable per Session übergeben? Spricht etwas dagegen?	Lapje	PHP Tipps 2008	6	20.10.2008 21:49
Undefined variable Undefined property: block	xxJJxx	PHP Tipps 2008	16	05.08.2008 15:30
Variable in SQL Anweisung verwenden	Beatbox	PHP Tipps 2006	2	08.08.2006 16:32
problem mit variable	snatch-ic	PHP Tipps 2007	5	13.12.2005 13:18
Variable durch 2. Variable bestimmen	Quagga	PHP Tipps 2005-2	11	26.10.2005 17:34
[Erledigt] Variable wird nicht erkannt bzw ausgegeben.		PHP Tipps 2005-2	4	25.10.2005 18:54
Variable in Variable	Matthiasnet	PHP Tipps 2005	6	20.03.2005 23:28
[Erledigt] Fehlermeldung unterdrücken wenn keine variable übergeben...		PHP Tipps 2005	6	20.03.2005 13:36
Variable in einer Variable	Beatbox	PHP Tipps 2005	7	15.01.2005 15:55
Warum wird Variable nicht übergeben???	Anuschka	PHP Tipps 2005	2	06.01.2005 13:22
[Erledigt] $_SESSION verwandelt variable auf einem Server in ein Array		PHP-Fortgeschrittene	2	16.12.2004 13:25
2 Schleifen durchlaufen		PHP Tipps 2004	1	14.09.2004 14:33

19.02.2010, 19:24
Exception Neuer Benutzer Registriert seit: 19.02.2010 Beiträge: 13 PHP-Kenntnisse: Anfänger	[Erledigt] sql - Variable ?? Liebe User, ich denke, dass das eine Anfänger Frage ist hihi ... ich bin ziemlich neu in php, programmiere sonst in C++/C# Webanwendungen asp/aspx ... Zu meiner Frage: Ich hab ne register form" vo man einfach in die Datenbank werte einfügt.. klappt auch alles wunderbar ohne problem. Jetzt ändert einer der Adminuser die Daten, und es soll aber eine mail auf die angegebene Benutzermailadresse in der Datenbank automatisch ein mail geschickt werden. Das Mail senden alles hab ich absolut ohne Probleme hinbekommen, nur liest er die Mailadresse nicht wirklich aus der Datenbank aus .. Hab mal was davon gehört, dass wenn ich die Variable vorerst nicht definiere, dass es da böse Probleme geben kann ?! Aber die Variable muss ich ja nicht definieren, denn die entsteht ja erst beim auslesen, oder ?? PHP-Code: $username = $_POST['username']; $password = $_POST['password']; mysql_select_db($mysqldb, $connection) or die("Konnte die Verbindung nicht aufbauen."); $usermail = mysql_query("SELECT email FROM wts_adminusers WHERE email='$username'"); $userdb = mysql_query("SELECT username FROM wts_adminusers WHERE username='$username'"); $userpw = mysql_query("SELECT password FROM wts_adminusers WHERE password='$password'"); $user = mysql_fetch_object($userdb); $userpass = mysql_fetch_object($userpw); $mail = mysql_fetch_object($usermail); $mailing = $mail->email; if($user->username == $username && $userpass->password == $password){ echo "<script>alert(\"Adminuser wurde aus der Datenbank geloescht !, $mailing\");</script>"; mysql_query("DELETE FROM wts_adminusers WHERE username='$username'"); Nicht wundern ... habs jetzt mal nur ausgeben lassen, weils eben mit der mail nicht funktioniert hat .. und hab extra ne eigene variable $mailing dafür definiert, aber funktioniert leider auch nicht... Hier entsteht die variable "$usermail" ja erst bei der Abfrage bzw. beim auslesen: PHP-Code: `$usermail = mysql_query("SELECT email FROM wts_adminusers WHERE email='$username'");` Aber anscheinend funktioniert dies nicht, weil kein Ergebnis rauskommt. bzw. das Ergebnis ist leer... Muss man die Variable vorher definieren ? und wenn ja, wie ? danke & lg, Exception


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

19.02.2010, 19:42
Yoshi- Erfahrener Benutzer Registriert seit: 26.10.2009 Beiträge: 425 PHP-Kenntnisse: Fortgeschritten	http://www.php.de/php-einsteiger/489...rundlagen.html

19.02.2010, 19:50
Exception Neuer Benutzer Registriert seit: 19.02.2010 Beiträge: 13 PHP-Kenntnisse: Anfänger	Danke, Yoshi. Es tut mir leid, aber es scheint auch hier ein guter "Gag" zu sein irgendwelche Links reinzusetzen, damit man am Ende noch mehr deprimiert ist als vorher... Ich kann euch sagen: Das mag keiner .... Es ist mir klar, dass php-Profis hier nicht immer alles erklären wollen, aber wenn man dann eine Antwort gibt (oder sich dazu überwindet) wäre es doch nicht zu viel erwartet, dass diese vielleicht noch iene konstruktive Lösung des Problems aufweist und nicht einfach nur ein link, wo man als Anfänger zurückgestuft wird ?! ... Man ist doch hier, wenn man sich schon als "Profi" betitelt, dass man anderen usern helfen kann und nicht nur um Links einzufügen ? Es tut mir wirklich leid, wenn das so eine blöde Frage ist, dass ein Link mit "Lerne Grundlagen" als Antwort genügt... Aber vielleicht kann mir doch noch ein User hier eine konstruktive Lösung meines kleinen Problems bieten .. Danke im Vorraus, Exception

19.02.2010, 20:03
Exituz23 Benutzer Registriert seit: 03.04.2008 Beiträge: 64	Fangen wir mal an. Wieso machst du für jedes Feld (mail,db,passwort) eine eigene Abfrage? Die liegen eh alle in einer Tabelle, da reicht eine Abfrage vollkommen zu. Und selbst wenn nicht: JOIN Und das ganze holst du dir dann z.B. mittels mysql_fetch_array Übernimmst du die $_POST Daten wirklich komplett ungefiltert? Edit: Reines Linkposten find ich persönlich auch nicht so, sagen wir toll

19.02.2010, 20:05
_cyrix_ Erfahrener Benutzer Registriert seit: 22.10.2008 Beiträge: 222 PHP-Kenntnisse: Anfänger	hast du dir die variablen mal via var_dump ausgeben lassen ? wenn ja, was passiert .,. email = username ? ist das wirklich so gewollt ? sql injection scheint dir auch ein fremdbegriff zu sein __________________ Learning by Doing --> Projekt eigenes BG <-- So lernt man am Besten alle Funktionen und kann sich dadurch viel aneignen --> Closed Beta Test <--

19.02.2010, 20:33
Exception Neuer Benutzer Registriert seit: 19.02.2010 Beiträge: 13 PHP-Kenntnisse: Anfänger	@exituz: herzlichen Dank, das nennt man ne super, durchaus akzeptable und konstruktive Antwort, warum kann es nicht mehr von diener Art geben ... Hab eine Abfrage gemacht und mit dieser alle Werte ausgelesen, jetzt funktioniert auch alles Danke ! @cyrix: nein, injections sind mir kein fremdbegriff, aber wie gesagt, das problem hat sich erl. Lg, Exception

19.02.2010, 20:38
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.990 PHP-Kenntnisse: Fortgeschritten	Tja, das Problem mit den Injections aber nicht. Es sei denn, Du nimmst die Anwendung vom Netz. __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

19.02.2010, 22:11
Yoshi- Erfahrener Benutzer Registriert seit: 26.10.2009 Beiträge: 425 PHP-Kenntnisse: Fortgeschritten	Der ganze Code ergibt keinen Sinn. $userdb = mysql_query("SELECT username FROM wts_adminusers WHERE username='$username'"); fragt alle Spalten ab wo der username gleich $username ist. Also ist $user->username nun das gleiche was auch in $username steht und dann ist auch $user->username == $username immer wahr, das gilt auch für die anderen Spalten. Außerdem scheint deine Db nicht richtig zu sein. Eine Extra Spalte wo nur Admins drin stehen ist überflüßig.

20.02.2010, 04:03
Exception Neuer Benutzer Registriert seit: 19.02.2010 Beiträge: 13 PHP-Kenntnisse: Anfänger	Hello, @nikosch & Asipak: Wer milw0rm kennt, weiß, was Injections sind, aber danke @Yoshi: Naja wer sagt dass das "mein" Code ist ... ich "studiere" andere Scripts um ..ehm... wie gesagt Lg, Exception CrackTimeCrew - we crack the world Geändert von Exception (20.02.2010 um 04:06 Uhr).