Einzelnes Datenfeld bei UPDATE anzeigen

Markus-Schmid · 6. Juni 2017

Guten Tag

Ich möchte in Zeile 14 am Schluss zusätzlich zu der Meldung den Namen der Person anzeigen, welche ich geupdatet habe.
Als PHP-Anfänger ist mir das leider nicht gelungen. Wer kann mir bitte mitteilen, wie ich den Code in Zeile ergänzen muss?

PHP

<?php>
$con = mysqli_connect('localhost', 'mss', 'kennwort', 'firma');
mysqli_select_db($con, "firma");
$sql = "UPDATE personen SET" // $sql gibt den Datensatz aus
. " name = '" . $_POST["nn"] . "',"
. " vorname = '" . $_POST["vn"] . "',"
. " personalnummer = " . $_POST["pn"] . ","
. " gehalt = " . $_POST["ge"] . ","
. " geburtstag = '" . $_POST["gt"] . "'"
. " WHERE personalnummer = " . $_POST["oripn"];

mysqli_query($con, $sql);
$num = mysqli_affected_rows($con);
if($num > 0) echo "Erfolgreich mutiert $num Datensatz <br>";
else echo "Es gab keine Aenderung<br>";
mysqli_close($con);
?>

Alles anzeigen

JR Cologne · 6. Juni 2017

Der Name steckt doch in deinen POST-Daten. Dann kannst du einfach hingehen und das, wie bei deinem SQL, bei der Ausgabe einbauen.

Oder verstehe ich irgendwas nicht ganz?

Mal so am Rande: Du bist dir über das Sicherheitsrisiko, das von deinem Code ausgeht, bewusst?

Markus-Schmid · 6. Juni 2017

Ich bin Anfänger und müsste genau wissen, wie man den Code schreibt.

Sicherheit ist in dieser Uebung kein Thema, das kommt noch (zuerst muss ich die Grundlagen verstanden haben).

JR Cologne · 6. Juni 2017

Jut, weiß natürlich nicht genau, inwiefern du das haben möchtest, aber so könnte es beispielsweise aussehen:

PHP

<?php
$con = mysqli_connect('localhost', 'mss', 'kennwort', 'firma');
mysqli_select_db($con, "firma");
$sql = "UPDATE personen SET" // $sql gibt den Datensatz aus
. " name = '" . $_POST["nn"] . "',"
. " vorname = '" . $_POST["vn"] . "',"
. " personalnummer = " . $_POST["pn"] . ","
. " gehalt = " . $_POST["ge"] . ","
. " geburtstag = '" . $_POST["gt"] . "'"
. " WHERE personalnummer = " . $_POST["oripn"];

mysqli_query($con, $sql);
$num = mysqli_affected_rows($con);
if($num > 0) echo "Erfolgreich mutiert $num Datensatz, Name: " . $_POST['vn'] . $_POST['nn'] . " <br>";
else echo "Es gab keine Aenderung<br>";
mysqli_close($con);
?>

Alles anzeigen

Markus-Schmid · 6. Juni 2017

Danke, es funktioniert genau so wie ich es wollte.

cottton · 6. Juni 2017

Zitat

Sicherheit ist in dieser Uebung kein Thema

Bitte nicht. Auch wenn Du nur in einer Testumgebung schreibst - gewöhne Dir keine Sicherheitslücken an.

SQL-injection möglich! Keine Daten direkt in die SQL-Query schreiben.

Du nutzt mysqli_, daher ist das hier für Dich interessant: http://php.net/manual/de/mysqli.prepare.php

(bei Fragen einfach fragen)

Auch keine Daten direkt in die Ausgabe aufnehmen/anhängen.

Bsp böse

echo "Dein Name ist " . $_POST['name'];

Auch keine db-Daten:

echo "Dein Name ist " . $dbResult'name'];

Warum: in der Variable könnte zB Javascribt stecken. Teste mal einen Namen - ändere ihn in

<script>alert(1)</script>

Der browser wird eine Alertbox ausgeben (Bei einem Angriff würde da natürlich viel schlimmeres passieren).

Wie verhinderst Du das:

echo "Dein Name ist " . htmlspecialchars($_POST['name']);

bzw

echo "Dein Name ist " . htmlspecialchars($dbResult'name']);

Info: kurze Namen sind schnell geschrieben (zB "nn"), aber schlecht für die Lesbarkeit. Es ist für alle einfacher, wenn Du namen ausschreibst.

zB statt "nn" "nach_name" (oder noch besser gleich alles in Englisch "last_name").

Markus-Schmid · 6. Juni 2017

Danke cottton für die Mitteilung. Gerne baue ich die Sicherheit schon jetzt ein, vor allem da ich sie von dir geliefert erhalte.
Wegen den kurzen Namen gebe ich dir recht, das Beispiel kommt aber aus einem PHP-Lernhandbuch.

Einzelnes Datenfeld bei UPDATE anzeigen

Jetzt mitmachen!

Teilen