MySQL Update Problem

AnTrOn · 13. März 2010

hier mein code!
ich bin am verzweifeln wieso funktioniert der update in die datenbank nicht?
könnt ihr mir bitte helfen?! danke

mfg antron

Code

<?
$email = $_POST["mail"];
$firma = $_POST["firma"];
$sql1 = "SELECT
			mail, firmenname
		FROM
			benutzerdaten
		WHERE
			username = '$_SESSION[username]'";
$ab1 = mysql_query($sql1);
$row1 = mysql_fetch_array($ab1);
if($email == $row1["mail"] && $firma == $row1["firmenname"])
	{echo 'Nichts wurde geändert!';}
	else
		{
		if($email != $row1["mail"])
			{$sql2 = "UPDATE
				benutzerdaten
			SET
				mail= '$email'
			WHERE
				username = '$_SESSION[username]'";
			echo 'E-Mail wurde geändert';
			}
				else
					{
					if($firma != $row1["firmenname"])
						{$sql2 = "UPDATE
									benutzerdaten
								SET
									firmenname = '$firma'
								WHERE
									username = '$_SESSION[username]'";
						echo 'Firmenname wurde geändert';}
					}
		}
?>

Alles anzeigen

R4Zz0R · 13. März 2010

Weil du auch für jedes update ind die datenbank auch eine anfrage (query) an den server machen musst

also:

Code

$update = mysql_query($sql2);

Das muss unter jedem der beiden updates stehen dann sollte es gehen

MFG
R4Zz0R

AnTrOn · 13. März 2010

vielen dank für die schnelle antwort echt super hier!!!

danke

R4Zz0R · 13. März 2010

gern geschehen xD

Hat es denn funktioniert ?

AnTrOn · 13. März 2010

ja wunderbar!!!
hatte da einen kleinen aussetzer!

timtim · 13. März 2010

Was bei sowas immer wichtig zu sagen ist,

Niemals Post daten direckt an Mysql übergeben ohne zu überprüfen was in den Variablen drinnen steht.

So können sehr schnell Mysql Injektionen entstehen, und ungewollte fehler auftreten.

Man sollte sowiso davon ausgehen das jede eingabe eines user Potentiell Böse ist. Und so sollte es auch behandelt werden.

Greetz TimTim

R4Zz0R · 14. März 2010

@ timtim
Eventuell sollten wir noch erwähnen wie man das einfach und sicher machen kann.

Möglichkeit 1:

PHP

<?php
$var = $_POST['var'];
$to_mysql = mysq_real_escape($var);
?>

An mysql übergibst du nun den $to_mysql.
Auserdem hier noch das Manual bei php.net
http://php.net/manual/de/funct…ql-real-escape-string.php

Es gibt aber auch noch.
Möglichkeit 2:

PHP

<?php
foreach ( $_POST as $var => $val )  {
    $_POST[$var] = addslashes($val );
}
?>

Bei dieser schleife werden alle über post übergebenen variablen durchlaufen und auf jeden inhalt die funktion addslashes(); ausgeführt,
nun kann man alle daten bequem wieder über $_POST['var'] verwenden.

Ansonsten rate ich dir, da wie timtim schon sagte:

Zitat von "timtim"

Man sollte sowiso davon ausgehen das jede eingabe eines user Potentiell Böse ist. Und so sollte es auch behandelt werden.

Wirklich auf nummer sicher zu gehen und auch darauf zu achten das du dich da absicherst, egal wie.
Da das bei einem echten angriff den verlust aller daten und den diebstal der userdaten zurfolge haben kann.

Ich hoffe ich konnte dir damit noch ein wenig helfen.

MFG
R4Zz0R

timtim · 14. März 2010

Naja, es ist eigentlich immer wichtig die Daten auf das zu prüfen, was man erwartet.

Wenn Zahlen kommen, dann prüfen ob es zahlen sind. Wenn ein string kommt, z.B für ein gästebuch. Das darin keine html tags oder JS code enthalten ist. Für benutzernamen das auch nur die erlaubten zeichen enthalten sind. Damit auch nicht ungewollte daten in der DB stehen.

Greetz TimTim

AnTrOn · 14. März 2010

danke für den guten rat werde diesen gleichmal befolgen

timtim · 14. März 2010

Hast du dich schon mit Regexen auseinandergesetzt ?

Code

$typ_pat = array( //regex array
              "num" =>  "/[^0-9]/",
              "alp"  =>  "/[^a-zA-Z]/",
              "numalp"=>  "/[^a-zA-Z0-9]/",
              "Balp" =>  "/[^A-Z]/",
              "Talp" =>  "/[^a-z]/",
              "name" => "/[^a-zA-Z0-9\-\_\(\)\[\] äöüÄÖÜ]/",
              "mail" => "/[_a-zA-Z0-9-]+(\.[_a-zA-Z0-9-]+)*@[a-zA-Z0-9-]+(\.[a-zA-Z0-9-]+)*\.(([0-9]{1,3})|([a-zA-Z]{2,3})|(aero|coop|info|museum|name))$/"
               );   //valide mail = true
               //qreg_match aus regex array
            $ok =  preg_match($typ_pat[$typ],$var);

Alles anzeigen

Mit preg_match kann man daten auf ihren inhalt prüfen.
Im code oben hast du einige zum überprüfen von strings.

oben ein Array mit verschiedenen Regexen, und am ende das prag_match.

Wenn z.B wenn ein string nur aus zahlen bestehen darf. Dann nimmt man das "num" also z.B $ok = preg_match($typ_pat["num"],"1234");

Dann währe $ok fals, weil kein anderes zeichen auser zahlen von 1-9 vorkommen. Dann weist du das der string nur aus zahlen besteht. Wenn ein buchstabe enthalten währe, gäbe es Truh zurück, und du weist das andere zeichen als Zahlen enthalten sind.

Das ist bei allen anderen auch so. Auser bei "mail" wenn es eine gültige email, im sinne des aufbaues, ist, gibt sie true zurück, und du weist das die e-mail vom aufbau her korrekt ist.

Bei name wird z.B überprüft ob der string andere zeichen als a-z A-Z 0-9 leerzeichen umlauten - _ () oder [] enthält. wenn im namen z.B ein @ oder ein " enthalten ist, steht in $ok true und man weis wieder das der name nicht korrekt ist.

Greetz TimTim

starhunter · 14. März 2010

Hallo timtim,

dieses Array ist echt genial. Macht diese RegEx seeeeehr viel einfacher.

Mfg

Starhunter

timtim · 14. März 2010

PHP

<?php       function look_typ($var,$which,$typ = 0)
           //var enthält die zu prüfende variable
           //$which zeigt was gemacht werden soll
           //$typ enthält den regex wert
            {
              if($which == "string")
              {




                $typ_pat = array( //regex array
              "num" =>  "/[^0-9]/",
              "alp"  =>  "/[^a-zA-Z]/",
              "numalp"=>  "/[^a-zA-Z0-9]/",
              "Balp" =>  "/[^A-Z]/",
              "Talp" =>  "/[^a-z]/",
              "name" => "/[^a-zA-Z0-9\-\_\(\)\[\] äöüÄÖÜ]/",
              "mail" => "/^[_a-zA-Z0-9-]+(\.[_a-zA-Z0-9-]+)*@[a-zA-Z0-9-]+(\.[a-zA-Z0-9-]+)*\.(([0-9]{1,3})|([a-zA-Z]{2,3})|(aero|coop|info|museum|name))$/"
               );   //valide mail = true
               //qreg_match aus regex array
            $ok =  preg_match($typ_pat[$typ],$var);




             //umschreiben von mail
             if($typ == "mail" AND $ok == true)
              {
                  $ok = false;
              }
              elseif ($typ == "mail" AND $ok == false)
              {
                  $ok = true;
              }
              //bei namenüberprüfung nicht kürzer als 3 / größer als 20
              if($typ == "name"){
                $meng =  strlen($var);
                if($meng < 3 or $meng >20)
                {
                    $ok = 1;
                }
              }
               return $ok;
              }
              elseif($which == "escape")
              {
                $check = mysql_real_escape_string($var);
                $check = strip_tags($check);
                return $check;
              }




            }                  ?>

Alles anzeigen

Das währe die ganze funktion, die kann noch ein wenig mehr =).
Sie is zwar schon ein wenig älter, und verbesserungswürdig, aber sie erfüllt ihren zweck.

Mal ne erklärung:

1. möglichkeit

Zitat

$ok = look_typ($var,"string","typ aus array")

Hierrüber können einfach die regexen ausgeführt werden

Allerdings wird hier die E-Mail regex auf auf false gesetzt falls die mail korrekt ist.
Sonnst gleiches ergebnist wie über die möglichkeit oben.

Allerdings wird bei name noch geprüft ob er länger als 3 aber kürzer als 20 ist.

Alles anzeigen

2. möglichkeit

$var = look_typ($var,"escape");

Zitat

$var = look_typ($var,"string","typ aus array")
Nur möglich wenn mysql verbindung besteht.

Es wird auf die $var mysql_escape string ausgeführt und strip_tags
Somit werden die " ' escaped und aller code entfernt =).

Der escapte string wird dann ind $var geschrieben.

Wie gesagt das is schon älter, und von mir erstellt als meine kenntnisse geringer waren.

Greetz TimTim

MySQL Update Problem

Jetzt mitmachen!

Teilen