Never LIKE!
Du willst ganz sicher nicht einen User laden, der einen ähnlichen Namen hat.
Dann ist ja gut, dass ich das aus dem Kopf geschrieben hab und in meinen Projekten bisher Where = verwendet hab.
Auch hab ich noch kein Passwort in der Query geprüft.
Ich dachte mir nur, meine Abfrage sieht so viel aus, das geht bestimmt schneller, besser.
Aber ich hab auch mal was richtig gemacht. 
Danke für den Hinweis!
Ich würde die Admintabelle streichen, die verursacht nur durcheinander bei den Abfragen.
Deine Usertabelle könnte so aussehen:
| id | username | pw (gehasht) |
admin | |
| 1 | CuzImCloud | wertgzhujik | admin@example.com | 1 |
| 2 | Stef | dfghjkl | user@example.com | 0 |
Dann überprüfst du das Passwort
$sql="SELECT `id`, `passwort` FROM table WHERE `username` LIKE ?";
if(password_verify("$eingegebenespw", "$hashausdb")
Wenn das Passwort stimmt, würde ich anhand der id den Rest auslesen und den Rechtewert sowie user in einer Sessionvariable speichern.
Sicherlich kann man auch alles auf einmal auslesen oder das Passwort direkt in der query prüfen.
Wieviele Nutzer willst du denn verwalten?
Gruß Humbi
Z.b. in dem du den Status nicht im User verwurstelst. Sondern ein separates Feld dafür vorsiehst.
Das kannst du beim Login mit abfragen und in der Session speichern.
Dann musst du auf der Seite nur noch abfragen.
Vereinfacht gesagt:
Du hast 2 Arten an Usern, normale User und Admins.
Dann steht in der Datenbank:
User Admin
cloud 1
Fred 0
Auf der Seite brauchst du dann nur noch den Wert mit if abfragen und die Seite darstellen oder eben nicht.
Wenn du mehrere Userarten hast solltest du mal einen Blick auf das Binärsystem werfen.
Gruß Humbi
Hallo cottton,
danke für deine Antwort. Das mit dem Whitelisting werde ich mir bei Bedarf nochmal anschauen.
Und sowas hier:
PHP"UPDATE `bilderdatenbank` SET $code WHERE `id` = $neu[id]"kann böse enden (SQL injection).
Ich weiß, dass Du die Daten hier selbst setzt.
Aber bei einem Update, oder wenn Du mal einen Codeblock zum wiederverwenden kopierst, ...
kann es schnell passieren, dass Du auf einmal Unsichere Daten in die Query schreibst.
Ja, prinzipiell hast du Recht. Das war jetzt mein erstes richtiges Projekt. (Erste Projekte sollte man meiner Meinung nach nie kopieren ^^).
Aber grundsätzlich habe ich schon auf Sicherheit geachtet und alle eingehenden Daten die von Menschen ausgefüllt werden erstmal durch Funktionen gejagt.
function reinigung ($text)
{
//eliminiere Leerzeichen vor und nach dem Text
$bereinigt = trim($text);
//eliminiere HTML Tags
$bereinigt = strip_tags($bereinigt);
return ($bereinigt);
}Sollten in einer Zeichenkette eh nur Zahlen oder Text vorkommen gibt es dafür weitere Funktionen, so dass wirklich nur durchkommt was muss.
Ich weiß, dass man auch Session- und Postvariablen manipulieren kann. Aber dadurch, dass das Script nur im Intranet eingesetzt wird sah ich jetzt keinen Grund so tief abzusteigen.
Ich werde deinen Vorschlag fürs nächste Mal bzw. für ein Update im Hinterkopf behalten.
Gruß Humbi
Hallo Asaak,
erstmal ein Hinweis, mit PHP kann man auch malen.
https://www.php-kurs.com/grafiken-erstellen-mit-php.htm
Ich hätte mit PHP die Erzeugungsparameter für einen Kreisbogen berechnet und die Prozentzahl als Text mit in der Grafik erzeugt.
Bestimmt gibt es auch elegantere Wege, aber ich versuche Aufgaben so früh wie möglich umzusetzen.
In dem Fall schon mit PHP vor der Auslieferung anstatt mit Javascript als Manipulation.
Gruß Humbi
Ich hatte selber noch keine Gelegenheit diesen Beitrag zu testen, aber probier doch mal die Hashfunktion von PHP.
Zu finden in diesem Beitrag:
loginpasswort-richtig-hashen-password-hash-password-verify/
Außerdem soll die Funktion scheinbar in zukünftigen Mysql Versionen ausgebaut werden.
https://dev.mysql.com/doc/refm…ns.html#function_password
Gruß
Hallo jele,
dein "Max" geht nicht weil es keinen Max gibt, Ergebnis Null.
Und ich habe festgestellt, dass Mysql manchmal ziemlich launisch ist was Leerzeichen und Anführungsstrichchen angeht.
Probier mal:
SELECT `id` FROM `users` WHERE ( `nickname` = 'horst' AND `password` = '123' )
Gruß Humbi
Moin,
Du vergisst, dass HTML eine Programmiersprache zum reinen Anzeigen von Inhalten ist. Bis auf vlt. ein paar Ausnahmen.
Aber für gewöhnlich kommt die Aktion erst durch andere Sprachen wie Javascript oder PHP auf die Seite.
123meineip.de/ping.php?ho...submit=Ping%21
Wenn du dein Beispiel mal genau anschaust wirst du feststellen, dass die Dateiendung dieser Seite PHP ist.
Also führt hier PHP deinen Ping durch z.B. so:
$ip = "127.0.0.1";
exec("ping -n 3 $ip", $output, $status);
print_r($output);Also gehört das Thema eigentlich in den PHP Bereich.
Gruß Humbi
Hallo Gauloise,
sry aber ich glaub so kann dir keiner helfen.
Ich hab weder verstanden was du jetzt mit Worddateien willst,
noch kann dir jemand sagen was du tun musst ohne ein Stück Code.
Willst du jetzt eine neue SEITE einbauen? Oder einen neuen Kurs in die Seite implementieren?
Gruß Humbi
EBM,
danke, das wars
Das Array kam mit dem zusammenbau im execute nicht klar.
Mit einem richtigen Array funktioniert es 
foreach ($_SESSION['ausgegebenesprotokoll'] as $key => $alt) {
foreach ($eingelesenesprotokoll as $key2 => $neu) {
$update=0;
$code="";
if($alt[id]==$neu[id]){
if ($alt[protokollpunkt] != $neu[protokollpunkt]){
$update=1;
$lengtalt= strlen($alt[protokollpunkt]);
$lengtneu= strlen($neu[protokollpunkt]);
$proto_neu= substr($neu[protokollpunkt], $lengtalt);
//$proto_neu enthält neue eingabe des kontrukteurs
$code .= "`kommentar_kon` = ? ";
$werte[]= "$proto_neu";
}
if ($alt[erledigt] != $neu[erledigt]){
if ($update!=0){
$code.=", ";
}
$update=1;
$code .= "`erledigt_am` = ? , ";
$code .= "`erledigt_von` = ? , ";
$code .= "`erledigt` = ? ";
$werte[]= "$heute";
$werte[]= "$user";
$werte[]= "$neu[erledigt]";
}
if ($alt[merker_kon] != $neu[merker_kon]){
if ($update!=0){
$code.=", ";
}
$update=1;
$code .= "`merker_kon` = ? ";
$werte[]= $neu[merker_kon];
}
if ($alt[melden] != $neu[melden]){
//meldenfunktion
}
if ($update != 0){
$pdo = new PDO(MYSQL_CONNECT, MYSQL_BENUTZER, MYSQL_KENNWORT);
$pdo->exec("SET NAMES 'UTF8'");
$statement = $pdo->prepare("UPDATE `bilderdatenbank` SET $code WHERE `id` = $neu[id]");
var_dump($statement);
echo "<br />";
var_dump($werte);
echo "<br />";
$statement->execute($werte);
print_r($statement->errorInfo());
echo "<br />";
}
}ergibt
object(PDOStatement)#3 (1) {
["queryString"]=>
string(142) "UPDATE `bilderdatenbank` SET `kommentar_kon` = ? ,
`erledigt_am` = ? , `erledigt_von` = ? , `erledigt` = ? , `merker_kon` =
? WHERE `id` = 17"
}
array(5) {
[0]=>
string(9) " asdfghjk"
[1]=>
string(10) "2017-03-23"
[2]=>
string(2) "rb"
[3]=>
string(1) "1"
[4]=>
string(1) "1"
}
Array
(
[0] => 00000
[1] =>
[2] =>
)Manchmal sieht man den Wald vor lauter ' " space nicht mehr.
Hat mich Stunden gekostet und dauerte 2 min 
Danke und Gruß
Humbi
Man, dieses pdo ist ganz schön launisch 
Das Textfeld und der Merker funktionieren jetzt (einzeln).
Das Problem bleiben mehrere Einträge auf einmal.
foreach ($eingelesenesprotokoll as $key2 => $neu) {
$update=0;
$code="";
$werte="";
if($alt[id]==$neu[id]){
if ($alt[protokollpunkt] != $neu[protokollpunkt]){
$update=1;
$lengtalt= strlen($alt[protokollpunkt]);
$lengtneu= strlen($neu[protokollpunkt]);
$proto_neu= substr($neu[protokollpunkt], $lengtalt);
//$proto_neu enthält neue eingabe des kontrukteurs
$code .= "`kommentar_kon` = ? ";
$werte .= "$proto_neu";
}
if ($alt[erledigt] != $neu[erledigt]){
if ($update!=0){
$code.=", ";
$werte.=', ';
}
$update=1;
//$code .= "`erledigt` = ? , `erledigt_von` = ? , `erledigt_am` = ? ";
$code .= "`erledigt_am` = ? ";
//$code .= "`erledigt_von` = ? ";
//$code .= "`erledigt` = ? ";
//$werte .= "'".$neu[erledigt]."', '".$user."', '".$heute."'";
$werte .= "$heute";//.", ";
//$werte .= "$user";//.", ";
//$werte .= "$neu[erledigt]";
}
if ($alt[merker_kon] != $neu[merker_kon]){
if ($update!=0){
$code.=", ";
$werte.=', ';
}
$update=1;
$code .= "`merker_kon` = ? ";
$werte .= $neu[merker_kon];
}
if ($alt[melden] != $neu[melden]){
//meldenfunktion
}
if ($update != 0){
//1,11,33,55-12,34,56,44,66,88-45,67,89,99-100
$pdo = new PDO(MYSQL_CONNECT, MYSQL_BENUTZER, MYSQL_KENNWORT);
$pdo->exec("SET NAMES 'UTF8'");
$statement = $pdo->prepare("UPDATE `bilderdatenbank` SET $code WHERE `id` = '".$neu[id]."'");
var_dump($statement);
echo "<br />";
var_dump($werte);
echo "<br />";
$statement->execute(array($werte));
print_r($statement->errorInfo());
echo "<br />";
//UPDATE `bilderdatenbank` SET `erledigt`='1' ,`erledigt_von`='rb' ,`erledigt_am`='2017-08-12' ,`merker_kon`='1' ,`kommentar_kon`='mach jetzt' WHERE `id` = '16'
//Dieser Befehl geht im sql
}
}
Die Auskommentierten Zeilen funktionieren alle drei einzeln! Also Datum, User und erledigt.
Sobald ein zweites dazu kommt gehts nicht mehr.
Das ist so empfindlich was Leerzeichen und Anführungszeichen angeht 
Ausgabe ist:
object(PDOStatement)#3 (1) {
["queryString"]=>
string(82) "UPDATE `bilderdatenbank` SET `erledigt_am` = ? , `erledigt` = ? WHERE `id` = '16'"
}
string(13) "2017-03-23, 0"
Array
(
[0] => HY093
[1] =>
[2] =>
)Fazit:
Textfeld geht
Merker geht
Textfeld und Merker geht ned
Datum, User, Zustand jeweils alleine geht
sobald es irgendwo 2 sind, geht es nicht mehr.
Sind ' oder " im execute nötig bzw zwingend nötig?
eher ja, wegen unterschiedlich langen Strings oder?
Gruß Humbi
Hallo EBM,
danke erstmal für deine Antwort.
Hab beides probiert, beides half leider nicht.
Was ich glaub vergessen habe zu erwähnen aber aus dem Code hervorgehen sollte.
Die drei Elemente Textarea, Dropdown und Checkbox sind unabhängig voneinander.
Es funktioniert nicht mit 3, 2 oder einzeln.
Die DB bleibt unverändert.
EDIT: ich meld mich nochmal.
Hab herausgefunden das mit der checkbox was nicht stimmt.
Die steht im Prepare immer drin aber es fehlt der Wert dazu
Gruß Humbi
Hallo Community,
ich komme bei einem MySQL Problem nicht weiter...
ich habe folgenden Code:
foreach ($eingelesenesprotokoll as $key2 => $neu) {
$update=0;
$code="";
$werte="";
if($alt[id]==$neu[id]){
if ($alt[protokollpunkt] != $neu[protokollpunkt]){
$update=1;
$lengtalt= strlen($alt[protokollpunkt]);
$lengtneu= strlen($neu[protokollpunkt]);
$proto_neu= substr($neu[protokollpunkt], $lengtalt);
//$proto_neu enthält neue eingabe des kontrukteurs
$code .= "`kommentar_kon` = ? ";
$werte .= '"'.$proto_neu.'"';
}
if ($alt[erledigt] != $neu[erledigt]){
if ($update!=0){
$code.=", ";
$werte.=', ';
}
$update=1;
$code .= "`erledigt` = ? , `erledigt_von` = ? , `erledigt_am` = ? ";
$werte .= '"'.$neu[erledigt].'", "'.$user.'", "'.$heute.'"';
}
if ($alt[merker_kon] != $neu[merker_kon]){
if ($update!=0){
$code.=", ";
$werte.=', ';
}
$update=1;
$code .= "`merker_kon` = ? ";
$werte .= '"'.$neu[merker_kon].'"';
}
if ($alt[melden] != $neu[melden]){
//meldenfunktion
}
//echo $code."<br />";
//echo $werte;
if ($update != 0){
$pdo = new PDO(MYSQL_CONNECT, MYSQL_BENUTZER, MYSQL_KENNWORT);
$pdo->exec("SET NAMES 'UTF8'");
$statement = $pdo->prepare("UPDATE `bilderdatenbank` SET $code WHERE `id` = ?");
var_dump($statement);
echo "<br />";
var_dump($werte);
echo "<br />";
$statement->execute(array($werte, "$neu[id]"));
print_r($statement->errorInfo());
//UPDATE `bilderdatenbank` SET `erledigt`='1' ,`erledigt_von`='rb' ,`erledigt_am`='2017-08-12' ,`merker_kon`='1' ,`kommentar_kon`='mach jetzt' WHERE `id` = '16'
//Dieser Befehl geht im sql
}
}
}
Ich vergleiche hier 2 Arrays die genau gleich aufgebaut sind.
Die IFs erweitern den SQL Befehl wenn die 2 Arrays unterschiedlich sind.
Ist nichts unterschiedlich wird auch kein Update gemacht.
Das vardump vom Statement liefert folgendes:
object(PDOStatement)#3 (1) {
["queryString"]=>
string(141) "UPDATE `bilderdatenbank` SET `kommentar_kon` = ? ,
`erledigt` = ? , `erledigt_von` = ? , `erledigt_am` = ? , `merker_kon` =
? WHERE `id` = ?"
}
Leerzeichen, Backticks, alles ist so wie es sein sollte.
Das vardump von Werte liefert folgendes:
string(58) "" jetzt gehts wieder ned", "1", "rb", "2017-03-22", "true""
Kurze Erklärung:
Der lange Text ist von einem Textarea, Feld in der DB ist varchar.
Der zweite Wert "1" ist von einem Dropdown welches 0,1 und e enthält. Das Feld ist varchar.
Der dritte Wert wird bei Login gesetzt und kommt aus der Session, DB varchar.
Der vierte Wert spuckt eine Funktion aus und ist immer " heute". Feld in DB ist DATE.
Der letzte Wert ist von einer Checkbox, Feld in DB ist BOOL.
Das Textarea wird vorher nacher verglichen und der neue Teil soll in eine neue Tabellenspalte "kommentar_kon" (varchar) geschrieben werden.
IDs stehen in beiden Arrays und nach denen richtet sich alles.
Mein Problem ist:
Der Code den vardump ausspuckt stimmt ja und wenn ich die ? durch die Werte ersetze und im SQL direkt ausführe geht es ja auch.
UPDATE `bilderdatenbank` SET `erledigt`='1' ,`erledigt_von`='rb' ,`erledigt_am`='2017-08-12' ,`merker_kon`='1' ,`kommentar_kon`='mach jetzt' WHERE `id` = '16'Das errorinfo spuckt HY093 aus.
Onkel Google sagt, das kann alles sein. Ein Schreibfehler.
Spaltennamen, Leerzeichen, Anführungsstrichchen alles schon probiert.
Falls mir jemand helfen kann.
Danke schonmal.
Gruß Humbi