Hilfe bei einem Formular (Seite 2)

GFX-Sector - PHP, MySQL

GFX-Sector » Coding Area » Webentwicklung » PHP, MySQL » Hilfe bei einem Formular

» Hello Guest [Login|Register]

Last Post | First Unread Post

Print Page | Recommend to a Friend | Add Thread to Favorites

PHP, MySQL

Themen rund um die serverseitige Programmierung mit PHP in Verbindung mit der Datenbanksoftware MySQL

Pages (2): « previous 1 [2]

Hilfe bei einem Formular

Author

Post

« Previous Thread | Next Thread »

quantum

Pfadfinder

Spender

Registration Date: 29.12.2008
Posts: 721
Deviantart: xcracx

werbefreies Forum?

Danke

Die vars hatte ich eigentlich escaped, aber leider hat das gar nicht funktioniert. Das sind noch recht alte versionen. In den neueren überprüfe ich die vars und escape die natürlich mit addslash().

Das Passwort wollte ich nciht verschlüsseln, da ich zu faul bin, ne passwort vergessen funktion zu schreiben ^^
so kann der admin in die datenbank gucken und das zurücksetzen oder so.
Aber wenn ich das irgendwann mal veröffentlichen sollte, kommt das natürlich dazu smile

Achja, ich escape eigentlich doch nicht beim login ^^
aber beim rest, komisch ^^

vielen dank Wink

15.01.2010 20:54

bpr

Spender

Registration Date: 18.11.2007
Posts: 557
Location: London
Program: Zend Studio
Forums: Coding; International Section

So jungs, ich habe das hier ein wenig beobachtet und kann nur noch mit dem kopf schuetteln. Was ist das fuer eine Code Qualitaet die hier dem User vorgeworfen wird?
So eine Misch Masch Wichse von html und php, unverschluesselte pws in der datenbank, security = 0, faulheit und absolute Unwissenheit, von dem was hier ueberhaupt getan wird. Eurer Engagement und Arbeit in Ehren, super dass ihr anderen helfen wollt, aber helft mit sachen die ihr koennt, denn das was hier bis jetzt produziert worden ist, hilft niemanden, es wirft eher grosse Angriffsmoeglichkeiten fuer seinen Dienst und es ist absolut nicht zu raten, dass zu benutzen.

Ich habe hier mal was kleines programmiert, ich denke, dass andere User davon auch profitieren koennen und vielleicht ihr wissen ausbauen koennen, ich empfehle es trotzdem nicht online zu benutzen alleine aus dem grund, jeder mensch der die seite aufruft kann sachen eintragen. Sicherheit kann noch wieter ausgebaut werden zur Zeit:
Prepared Statements
Anti Spoofing

http://uploaded.to/file/58cb3e

Zusagen ist:
url aendern von http://localhost/formular in eure URL
es ist nicht fertig entwickelt folgendes steht auf der todo:
php:
- fehlermeldungen ausgeben fuer den user
- frontend fuer aendern funktion
- email ueberpruefung
java script:
- ueberpruefung der formular daten

Was man bis jetzt machen kann:
User eintragen
Alle user anzeigen lassen
Loeschen (ajax)

Die Funktion zum Editieren eines Users ist bereits drinnen, jedoch wird sie nicht aufgerufen im Frontend, es sollte aber ein Kinderspiel sein, diese aufzurufen, gegebenfalls mit einem preedit und einer block.ui von jquery

Gruss

PS:
fuehlt euch bitte nicht angegriffen.

16.01.2010 12:47

quantum

Pfadfinder

Spender

Registration Date: 29.12.2008
Posts: 721
Deviantart: xcracx

Na genau dafür habe ich den post ja gemacht nech ^^

Ich vergleiche das nochmal mit meinem code und schaue ob da echt so viele differenzen sind.
Ich habe ja wie gesagt fast alles noch mal neu geschrieben.

Naja, danke für den code Wink

16.01.2010 19:31

logi
Zauberstabbenutzer

Registration Date: 14.01.2010
Posts: 17

Thread Starter Thread Started by logi

Hallo Leute,

ich danke euch für eure Mühe. Wie ich sagt, bin ich ja absolut neu auf dem Gebiet und versteh daher nix davon.

Könnte mir jemand so ein Script an meine DB anpassen? Ich hoffe, das es nicht zu viel verlangt ist. smile

Danke nochmal

17.01.2010 00:35

bpr

Spender

Registration Date: 18.11.2007
Posts: 557
Location: London
Program: Zend Studio
Forums: Coding; International Section

Du hast ne Pn von mir bekommen

17.01.2010 01:54

logi
Zauberstabbenutzer

Registration Date: 14.01.2010
Posts: 17

Thread Starter Thread Started by logi

Hallo zusammen,wie ihr wisst, bin ich am lernen und ausprobieren, daher brauch ich öfter mal Hilfe smile kann mir jemand sagen wo ich den fehler habe ??

php:

1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
36:
37:
38:
39:
40:
41:
42:
43:
44:
45:
46:
47:
48:
49:
50:
51:
52:
53:
54:
55:
56:
57:
58:
59:
60:
61:
62:
63:
64:
65:
66:
67:
68:
69:
70:
71:
72:
73:
74:
75:
76:
77:
78:
79:
80:
81:
82:
83:
84:
85:
86:
87:
88:
89:
90:
91:
92:
93:
94:
95:
96:
97:
98:
99:
100:
101:
102:
103:
104:
105:
106:
107:
108:
109:
110:
111:
112:
113:
114:
115:

 <html>
<head>
<script type="text/javascript">
function send(ak,id)
{
if(ak==0)
document.f.ak.value = "in";
else if(ak==1)
document.f.ak.value = "up";
else if(ak==2)
{
if (confirm("Datensatz mit id " + id + " löschen?";))
document.f.ak.value = "de";
else
return;
}
document.f.id.value = id;
document.f.submit();
}
</script>
</head>

<body>
<?php
mysql_connect("","root";);
mysql_select_db("gtarl_samp";);

/* Aktion ausführen */
if(isset($_POST["ak"]))
{
/* neu eintragen */
if($_POST["ak"]=="in";)
{
$sqlab = "insert user_info"
. ";(userName, userLevel, userSkin,"
. " userSex, userMoney) values ('"
. $_POST["username"][0] . "', '"
. $_POST["userlevel"][0] . "', '"
. $_POST["userskin"][0] . "', '"
. $_POST["usersex"][0] . "', '"
. $_POST["usermoney"][0] . "')";
mysql_query($sqlab);
}

/* ändern */
else if($_POST["ak"]=="up";)
{
$id = $_POST["id"];
$sqlab = "update user_info set "
. "userName = '" . $_POST["username"][$id] . "', "
. "userLevel = '" . $_POST["userlevel"][$id] . "', "
. "userSkin = '" . $_POST["userskin"][$id] . "', "
. "userSex = '" . $_POST["usersex"][$id] . "', "
. "userMoney = '" . $_POST["usermoney"][$id] . "'"
. " where userID = $id";
mysql_query($sqlab);
}

/* löschen */
else if($_POST["ak"]=="de";)
{
$sqlab = "delete from user_info where userID = " . $_POST["id"];
mysql_query($sqlab);
}
}

/* Formular-Beginn */
echo "<form name='f' action='user.php' method='post'>";
echo "<input name='ak' type='hidden' />";
echo "<input name='id' type='hidden' />";

/* Tabellen-Beginn */
echo "\n\n<table border>"
. "<tr>"
. "<td>Username</td>"
. "<td>User level</td>"
. "<td>UserID</td>"
. "<td>userSex</td>"
. "<td>User Money</td>"
. "<td>Aktion</td>"
. "</tr>";

/* Neuer Eintrag */
echo "\n\n<tr>"
. "<td><input name='na[0]' size='8' /></td>"
. "<td><input name='vo[0]' size='6' /></td>"
. "<td><input name='pn[0]' size='6' /></td>"
. "<td><input name='gh[0]' size='6' /></td>"
. "<td><input name='gb[0]' size='8' /></td>"
. "<td><a href='javascript:send(0,0);'>neu eintragen</a></td>"
. "</tr>";

/* Anzeigen */
$res = mysql_query("select * from user_info";);

/* Alle vorhandenen Datensätze */
while ($dsatz = mysql_fetch_assoc($res))
{
$id = $dsatz["user_ID"];
echo "\n\n<tr>"
. "<td><input name='username[$id]' value='" . $dsatz["userName"] . "' size='8' /></td>"
. "<td><input name='userlevel[$id]' value='" . $dsatz["userLevel"] . "' size='6' /></td>"
. "<td><input name='userskin[$id]' value='" . $dsatz["userSkin"] . "' size='6' /></td>"
. "<td><input name='usersex[$id]' value='" . $dsatz["userSex"] . "' size='6' /></td>"
. "<td><input name='usermoney[$id]' value='" . $dsatz["userMoney"] . "' size='8' /></td>"
. "<td><a href='javascript:send(1,$id);'>ändern</a>"
. " <a href='javascript:send(2,$id);'>löschen</a></td>"
. "</tr>";
}
echo "</table>";
echo "</form>";
?>
</body>
</html>

edit: hat sich erledigt smile

This post has been edited 1 time(s), it was last edited by logi: 18.01.2010 12:32.

18.01.2010 12:26

bpr

Spender

Registration Date: 18.11.2007
Posts: 557
Location: London
Program: Zend Studio
Forums: Coding; International Section

Es waere sehr interessant zu wissen wo der fehler war, viellt solltest du dsa ganze nochmal posten, wo er war !

18.01.2010 13:46

quantum

Pfadfinder

Spender

Registration Date: 29.12.2008
Posts: 721
Deviantart: xcracx

Du solltest dir auch angewöhnen, Variablen, names und id's eindeutig zu benennen…

In einem Jahr weisst du sicher nicht mehr was "f", "ak" oder "in" war.
Und name "id" sollte nicht sein.

lg

18.01.2010 15:42

logi
Zauberstabbenutzer

Registration Date: 14.01.2010
Posts: 17

Thread Starter Thread Started by logi

funktioniert doch nicht. zu früh gefreut smile

Könnte mir evtl. jemand weiterhelfen unglücklich

php:

1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
36:
37:
38:
39:
40:
41:
42:
43:
44:
45:
46:
47:
48:
49:
50:
51:
52:
53:
54:
55:
56:
57:
58:
59:
60:
61:
62:
63:
64:
65:
66:
67:
68:
69:
70:
71:
72:
73:
74:
75:
76:
77:
78:
79:
80:
81:
82:
83:
84:
85:
86:
87:
88:
89:
90:
91:
92:
93:
94:
95:
96:
97:
98:
99:
100:
101:
102:
103:
104:
105:
106:
107:
108:
109:
110:
111:
112:
113:
114:
115:



<html>
 <head>

 <script type="text/javascript">
 function send(ak,id)
 {
    if(ak==0)
        document.f.ak.value = "in";
    else if(ak==1)
        document.f.ak.value = "up";
    else if(ak==2)
    {
        if (confirm("Datensatz mit id " + id + " löschen?"))
           document.f.ak.value = "de";
        else
           return;
    }
    document.f.id.value = id;
    document.f.submit();
 }
 </script>
 </head>

 <body>
 <?php

   mysql_connect("","root");
   mysql_select_db("gtarl_samp");

    /* Aktion ausführen */
    if(isset($_POST["ak"]))
    {
       /* neu eintragen */
       if($_POST["ak"]=="in")
       {
          $sqlab = "insert user_info"
            . "(userName, userLevel, userMoney,"
            . " userSkin, Flugschein, Fuehrerschein) values ('"
            . $_POST["uname"][0] . "', '"
            . $_POST["ulevel"][0] . "', '"
            . $_POST["umoney"][0] . "', '"
            . $_POST["uskin"][0] . "', '"
            . $_POST["flugschein"][0] . "', '"
            . $_POST["fuehrerschein"][0] . "')";
          mysql_query($sqlab);
       }

       /* ändern */
       else if($_POST["ak"]=="up")
       {
          $id = $_POST["id"];
          $sqlab = "update user_info set "
            . "userName = '" . $_POST["uname"][$id] . "', "
            . "userLevel = '" . $_POST["ulevel"][$id] . "', "
            . "userMoney = '" . $_POST["umoney"][$id] . "', "
            . "userSkin = '" . $_POST["uskin"][$id] . "', "
            . "Flugschein = '" . $_POST["flugschein"][$id] . "'"
            . "Fuehrerschein = '" . $_POST["fuehrerschein"][$id] . "'"
            . " where userID = $id";
          mysql_query($sqlab);
       }

       /* löschen */
       else if($_POST["ak"]=="de")
       {
          $sqlab = "delete from user_info where userID = " . $_POST["id"];
          mysql_query($sqlab);
       }
    }

    /* Formular-Beginn */
    echo "<form name='f' action='useredit.php' method='post'>";
    echo "<input name='ak' type='hidden' />";
    echo "<input name='id' type='hidden' />";

    /* Tabellen-Beginn */
    echo "\n\n<table border>"
     . "<tr>"
     . "<td>Name</td>"
     . "<td>Level</td>"
     . "<td>Money</td>"
     . "<td>Skin</td>"
     . "<td>Flugschein</td>"
     . "<td>Führerschein</td>"
     . "<td>Aktion</td>"
     . "</tr>";



    /* Anzeigen */
    $res = mysql_query("select * from user_info");

    /* Alle vorhandenen Datensätze */
    while ($dsatz = mysql_fetch_assoc($res))
    {
       $id = $dsatz["userID"];
       echo "\n\n<tr>"
        . "<td><input name='uname[$id]' value='" . $dsatz["userName"] . "' size='8' /></td>"
        . "<td><input name='ulevel[$id]' value='" . $dsatz["userLevel"] . "' size='6' /></td>"
        . "<td><input name='umoney[$id]' value='" . $dsatz["userMoney"] . "' size='6' /></td>"
        . "<td><input name='uskin[$id]' value='" . $dsatz["userSkin"] . "' size='6' /></td>"
        . "<td><input name='flugschein[$id]' value='" . $dsatz["Flugschein"] . "' size='6' /></td>"
        . "<td><input name='fuehrerschein[$id]' value='" . $dsatz["Fuehrerschein"] . "' size='6' /></td>"
        . "<td><a href='javascript:send(1,$id);'>ändern</a>"
        . " <a href='javascript:send(2,$id);'>löschen</a></td>"
        . "</tr>";
    }
    echo "</table>";
    echo "</form>";
 ?>
 </body>
 </html>

This post has been edited 2 time(s), it was last edited by logi: 19.01.2010 14:25.

19.01.2010 14:24

quantum

Pfadfinder

Spender

Registration Date: 29.12.2008
Posts: 721
Deviantart: xcracx

Du kannst doch nicht direkt die $_POST-Variablen in die Datenbank schreiben o0 – oder?
escape die vorher:

php:
1:	mysql_real_escape_string($_POST["uname"])

Sicher ist sicher. (Oder unnötig?)

Cool, wäre, wenn du uns erzählst was genau passiert, oder auch nicht.

PS: GTA Browsergame?

This post has been edited 1 time(s), it was last edited by quantum: 19.01.2010 15:27.

19.01.2010 15:26

logi
Zauberstabbenutzer

Registration Date: 14.01.2010
Posts: 17

Thread Starter Thread Started by logi

Ich habe das versucht abzuändern. Ist eigentlich für was anderes gedacht gewesen.

Wenn man was ändert, dann wir das nicht in die Datenbank geschrieben

PS: GTA SA Multiplayer

This post has been edited 1 time(s), it was last edited by logi: 19.01.2010 15:39.

19.01.2010 15:38

Quad

Zauberstabbenutzer

Registration Date: 14.01.2010
Posts: 24
Location: Dortmund

quote:

Original von CrAc
Du kannst doch nicht direkt die $_POST-Variablen in die Datenbank schreiben o0 – oder?
escape die vorher:

php:
1:	mysql_real_escape_string($_POST["uname"])

Sicher ist sicher. (Oder unnötig?)

Nein ist nicht unnötig! Ist zwingend erforderlich wenn man nicht mit Prepared Statements arbeitet -kann aber auch dann nicht schaden- sonst ist es ohne Probleme möglich die Datenbank nach Wunsch zu manipulieren.

Außerdem bei der Ausgabe von Benutzerdaten. (z.B. Daten die man aus der Datenbank holt und ausgeben will die von einem Nutzer kamen) die Funktion.

php:
1:	htmlspecialchars(<variable>, ENT_QUOTES);

anwenden!

Anderfalls kann man eigenen Html Code in die Seite unterjubeln.
(Kann man zum Beispiel als Benutzernahmen den Html-Tag einer Meta-weiterleitung wählen, sobald der Username nun irgendwo angezeigt wird hat man ne Weiterleitung drin. So kann man Schadcode unterjubeln auch z.B. JavaScript)

Und logi: ne Fehlermeldung/Beschreibung würde helfen

Grüße Q

This post has been edited 2 time(s), it was last edited by Quad: 21.01.2010 13:02.

21.01.2010 12:57

GFX-Sector
unregistered

Have you enjoyed this topic?

If you were enjoying this post and if you keen on reading more interesting stuff then do not hesitate to complete the free sign up.

After the free registration you will gain access to all areas and you will be able to communicate with other artists from all over the world.

In addition you will benefit from our Photoshop and coding section as well as from our huge (hundreds of gigabytes) free resource section where you can find everything you will need to be a successful (web) designer/artist.

Sign up now and enjoy the advantages as a registered member.

(This website will be ad-free after a complete free sign up.)

21.01.2010 12:57

Pages (2): « previous 1 [2]

Tree Structure | Board Structure

GFX-Sector » Coding Area » Webentwicklung » PHP, MySQL » Hilfe bei einem Formular

Similar topics to Hilfe bei einem Formular

Thread

das Lied des irren Geigers ist noch lang nicht vorbei (Forum: Signaturen/Avatare)

IPhone - Nach keinem Tut! (Forum: Artworks)

[Problem] Logo bearbeiten (Forum: Fragen & Probleme)

[S] Tuts für Profissionele Fotobearbeitung (Forum: Tutorial Suche)

flyerdesign - auftragsarbeit (Forum: Designs)