Beiträge von cottton

Das geht schon beim select los:

"SELECT * FROM users WHERE email='$email'"

Wenn $email, was ja über $_POST reinkommt, jetzt den Inhalt

' OR id = 1; -- x

hat, dann wird diese Query daraus;

SELECT * FROM users WHERE email='' OR id = 1; -- x'

Und id 1 könnte ja schon mal der admin sein

BTW: ich sehe gerade, dass Du die SELECT-Query abschickst, BEVOR Du $email definierst:

// hier feuerst du die query ab:    
$result = $mysqli->query("SELECT * FROM users WHERE email='$email'");

    $first_name = $_POST['firstname'];
    $last_name  = $_POST['lastname'];
// aber HIER definierst du $email erst
    $email      = $_SESSION['email'];

Das heißt, Du suchst nach einer email "".

So rum sollte es laufen:

    $first_name = $_POST['firstname'];
    $last_name  = $_POST['lastname'];
    $email      = $_SESSION['email'];
$sql = "SELECT * FROM users WHERE email = ?"; // mit platzhalter
if ($stmt = $mysqli->prepare($sql)) {
    $stmt->bind_param("s", $city);
    $stmt->execute();
    // ... und fetch ect ...
} else {
    // error abfangen ....
}

Siehe comments:

if ( $mysqli->query($sql) ) {
    // ...
} else {
    // hier $mysqli->error nutzen, um fehler mitzubekommen
    // siehe http://php.net/manual/de/mysqli.error.php#refsect1-mysqli.error-examples
}

Evtl gibts nen Fehler, den Du nicht ausgibst.

Achtung: SQL-Injection möglich.

Verwende PLatzhalter (->prepare(".... where email = ?")) und NICHT variablen direkt in der Query!

Siehe: http://php.net/manual/de/mysq…repare-examples

Verstanden: ja

Problem: unklar

Was brauchst Du, was geht nicht, ... ?

Du nutzt ein komisches format. Nutze besser 'Y-m-d H:i:s' statt Y.m.d H:i:s

Das hier sollte funktionieren:

<?php

// angenommen in der db wurde folgendes gespeichert
$bannedAt = '2017.12.12 10:27:12';

// fix um dein format zu laden
$format = 'Y.m.d H:i:s';
$bannedAt = \DateTime::createFromFormat($format, $bannedAt)
    ->format('Y-m-d H:i:s');
// banned ist jetzt im Bsp '2017-12-12 10:27:12'
// /fix

$banSec = 20 * 60;
$timeBanned = strtotime($bannedAt);
$timeNow = time();
$diff = $timeNow - $timeBanned;
$remaining = $banSec - $diff;

echo "Banned at: {$timeBanned}\r\n";
echo "Now: {$timeNow}\r\n";
echo "Banned for (sec): {$banSec}\r\n";
echo "Diff (sec): {$diff}\r\n";
echo "Remaining (sec): {$remaining}\r\n";

if ($remaining > 0) {
    // sec to min (aber min 1 um nicht 0 anzuzeigen, wenn < 60 sec)
    $min = max(round($remaining / 60), 1);
    echo "Du bist noch für {$min} Minuten gesperrt";
} else {
    echo "Nicht mehr gesperrt";
}

Ggibts keinen Content auf der Seite?

Versuch mal curl beim 2ten call neu zu definieren.

Also ab

$ch = curl_init();

alles nochmal setzen, außer natürlich die 2te url.

Oder evtl ein Fehler. Siehe http://php.net/manual/de/function.curl-error.php

curl_exec gibt true oder false,

es sei denn Du gibst die Option

curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);

an, was Du ja gemacht hast.

Probier mal die Option beim zweiten Call erneut zu setzen:

curl_setopt($ch, CURLOPT_URL, 'https://xyz.de/somepage/desired-site');

// NEU
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); //

$content = curl_exec($ch);

// NEU
var_dump($content);
// 
curl_close($ch);
file_put_contents('/downloads/download.txt', $content);

Und was kommt beim var_dump raus?

$var = "username=" . $username . "&password=" . $pin . $password";

bei $password hast Du ein offenes ".

Setze mal am Anfang des Scripts das hier ein:

error_reporting(E_ALL);
ini_set('display_errors', 1);

So bekommst Du Fehler gemeldet.

error_reporting(E_ALL);
ini_set('display_errors', 1);

if (isset($_POST["button"])) {
    $username = $_POST["username"];
    $pin = (int)$_POST["pin"];
    $password = (int)$pass;
    $loginUrl = 'https://xyz.de/somepage/login.cgi';
    $var = "username=" . $username . "&password=" . $pin . $password;
    //init curl
    $ch = curl_init();
    //Set the URL to work with
    curl_setopt($ch, CURLOPT_URL, $loginUrl);
    curl_setopt($ch, CURLOPT_USERAGENT,
        "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/604.3.5 (KHTML, like Gecko) Version/11.0.1 Safari/604.3.5");
    // ENABLE HTTP POST
    curl_setopt($ch, CURLOPT_POST, 1);
    //Set the post parameters
    curl_setopt($ch, CURLOPT_POSTFIELDS, $var);
    //Handle cookies for the login
    curl_setopt($ch, CURLOPT_COOKIEJAR, 'cookie.txt');
    //Setting CURLOPT_RETURNTRANSFER variable to 1 will force cURL
    //not to print out the results of its query.
    //Instead, it will return the results as a string return value
    //from curl_exec() instead of the usual true/false.
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
    //execute the request (the login)
    $store = curl_exec($ch);
}
//the login is now done and you can continue to get the
//protected content.
//set the URL to the protected file
curl_setopt($ch, CURLOPT_URL, 'https://xyz.de/somepage/desired-site');
//execute the request
$content = curl_exec($ch);
curl_close($ch);
//save the data to disk
file_put_contents('/downloads/download.txt', $content);

PHP curl -> login -> Firma

Bei Firma läuft auch PHP?

Du hast sicherlich eine Datei, in der eine Session geschrieben wurde.

Die läuft bei Inaktivität aus. Bei PHP default 1440 Sekunden.

Normalerweise wird die Session erneuert, bei jedem Aufruf.

Sind zB 1000 Sekunden vergangen, und Du setzt eine neue Request auf, dann wird die Session "erneuert" und Du hast wieder 1440 Sekunden.

Um ein Timeout zu umgehen, kannst Du

1. die Einstellungen bei der Firma ändern,

oder

2. aller x Sekunden eine Request absetzen.

Zu 2. könntest Du einen Endpoint anlegen, der nur dafür da ist, um die Session zu erneuern (refresh).

Eine Dritte Möglichkeit wäre, bei abgelaufener Session einen erneuten Login durchzuführen.

Dazu muss aber der Server (Firma) eine Brachbare Meldung zurückgeben.

Zb Http response: 401 Unauthorized

Dein Script erkennt dann, dass die Session abgelaufen ist, und setzt einen erneuten Login ab.

Ich empfehle die re-login Methode (3.).

Denn egal warum Du nicht mehr eingeloggt bist, Du loggst Dich wieder ein und weiter gehts.

Ich sehe keinen Fehler.

Evtl sind die Parameter schuld.

Mach doch mal ein var_dump auf $plz und $wohnort.

Du bekommst keinen Fehler, sondern ein leeres array. Das sollte im Normalfall bedeuten, dass es keine Rows gibt, auf die die WHERE-Bedingung zutrifft.

Ok, dann wie im code in meinem vorigen Post die Platzhalter verwenden.

Bei der Stelle allerdings SELECT {$sid}, {$id} nutzt Du GET und SESSION values direkt in der Query.

Ich verstehe nicht, wie das funktionieren soll.

SELECT 12, 5 FROM ... -- das macht doch keinen Sinn. Es gibt doch sicherlich keine Spalten in der Tabelle dafür.

Davon mal abgesehen:

PLatzhalter können nur für values genutzt werden.

Tabellennamen oder Spaltennamen können also nicht per Platzhalter eingefügt werden.

Nicht funktionierendes Bsp :

SELECT :placeholder_foo, :placeholder_bar FROM ...

Um das aber per Variablen sicher zu gestalten nutzt man zB Whitelists.

$fieldToSelect1 = $_GET['field_to_select_1']; // angenommen hat value "firstname"
$fieldToSelect2 = $_GET['field_to_select_2'];// angenommen hat value "lastname"

$columnWhitelist = [
    'id',
    'firstname', 
    'lastname',
    'street',
    // ...
];
if(!in_array($fieldToSelect1, $columnWhitelist, true)){
    throw new Exception("Invalid field to select '{$fieldToSelect1}' given.");
}
if(!in_array($fieldToSelect2, $columnWhitelist, true)){
    throw new Exception("Invalid field to select '{$fieldToSelect2}' given.");
}
// ab hier bist du dir sicher, dass du genau diese values in die query schreiben kannst.
$sql = "SELECT {fieldToSelect1}, {fieldToSelect2} FROM ..."; 

Oder du legst ein Regex drüber, und entfernst alle nicht gültigen Zeichen.

Hier mal ne funtion, die ich dafür oft benutzt hab:

    public function letterNumberUnderscoreOnly($string)
    {
        return preg_replace("/[^\w]/", '', (string)$string);
    }

Gibt sicherlich noch andere Möglichkeiten.

session_start();
require_once 'config/connect.php';

if (isset($_GET['type'], $_GET['id'])) {
    $type = $_GET['type'];
    $id = (int)$_GET['id'];
    $sid = $_SESSION['id'];

    switch ($type) {
        case 'article':
            $stmt = $pdo->prepare("
         INSERT INTO u_post_likes (user_id, post_id)
            -- SELECT {$sid}, {$id} warum value von \$sid und \$id? du willst doch bestimmt sid und id auswählen
            SELECT sid, id
            FROM u_post             WHERE EXISTS (
                SELECT p_id
                FROM u_post
                WHERE p_id = :p_id -- PLATZHALTER
            )
            AND NOT EXISTS (
                SELECT id
                FROM u_post_likes
                WHERE user_id = :user_id -- PLATZHALTER
                AND post_id = :post_id -- PLATZHALTER
            )
            LIMIT 1
         ");

            $params = [
                'p_id' => $id, // VALUES für PLATZHALTER
                'user_id' => $sid, // VALUES für PLATZHALTER
                'post_id' => $id, // VALUES für PLATZHALTER
            ];
            if (!$stmt->execute($params)) {
                print_r($stmt->errorInfo());
            }


            break;
    }
}
header('Location: testupload.php');

Die query und sub-queries versteh ich nicht. Kenn ja den Hintergrund|System nicht.

Nimm doch die input felder als key.

<input name="firstname" ...

Im array nutzt Du dann halt $array['firstname'] ...

Kann auch nix sehen. Sehe keine Tippfehler o.ä.

Wenn Du keine Werte bei den get-Funktionen bekommst, dann wurden die set-Funktionen wohl nicht ausgerufen.

Order Du benutzt eine andere Instanz (also zB nicht die var, mit der Du die setter aufgerufen hast).

nur geraten, fehlt ja code

Edit: Posts überschnitten.

Poste doch mal den Code, mit dem Du die Klasse ansprichst.

zB

$object = new MyClass();
$object->setBookedDays();
var_dump($object->getBookedDays());

Was Jav sagt.

Plus alias verwenden (SELECT `db1`.`id` as `id1`)

Noch ein Hinweis zur PDO:

Man kann 2 verschiedene Arten Platzhalter verwenden (wie im Artikel beschrieben, den Du geposted hast).

Entweder mit ? (Fragezeichen,) oder per :namen.

Gewöhne Dir am besten gleich die :platzhalter_mit_benennung an.

Den Fragezeichensalat like VALUES(?, ?, ?) oder WHERE foo = ? AND bar = ? AND baz = ?

würde ich mir an Deiner Stelle nicht antun

Die values sind nicht vorhanden, die Du binden willst.

Mach mal var_dump() auf die row p_id und die session id:

if(isset($_POST['show'])) {
        $comment = $_POST['comment_msg'];
        if($insert = $pdo->prepare("INSERT INTO comments (p_id, u_id, comment) VALUES (?, ?, ?)")) {
            var_dump($row['p_id']);
            var_dump($_SESSION['id']);
            $insert->BindValue(1, $row['p_id']);
            $insert->BindValue(2, $_SESSION['id']);
            $insert->BindValue(3, $comment);
            
            if(!$insert->execute()) {
                print_r($insert->errorInfo());
            } else {
                echo 'erfolg';
            }
            
        }
        
    }

Ich verstehe allerdings auch nicht, warum es ein INSERT INTO bei einem Button "Show" gibt.

Evtl wolltest Du dort ein SELECT ?

Maike1976

Editiere deinen Post. Du hast die Zugangsdaten geposted!

$db = @mysql_connect("***"; "***"; "***") or die(mysql_ERROR());

Das Passwort ist jetzt Müll. Das war öffenlich im Netz. Auf jeden Fall ändern.

EDIT;

Zum syntax error:

$db = @mysql_connect(
    "**"; // <--     "**"; // <--    "**") or die(mysql_ERROR());

Semikolon gehört dort nicht hin, sondern Komma

$db = @mysql_connect(
    "**", 
    "**", 
    "**")
or die(mysql_ERROR());

Wenn Du bei Dir jetzt PHP 7 am laufen hast, wirst Du auf die Schnelle nicht weiterkommen.

In PHP7 gibt es (wenn ich mich richtig erinnere) keine mysql_ funtions mehr. (nicht mehr unterstützt/zu alt).

Könntest mit PHP 5.6 testen. Solltest dann aber mysql_ auf mysqli_ oder PDO umstellen.

mysqli_ http://php.net/manual/de/mysqli.examples-basic.php

PDO http://php.net/manual/de/pdo.connections.php

Siehe Code - in der SQL Query der Kommentar: u_post.p_id AS p_id

Du hast keine p_id in der $row.

Aber Du hast eine u_post.p_id.

$pdo->prepare("

  SELECT 
    id, 
    username, 
    image, 
    im_type, 
    image_ordner, 
    u_post.p_id,  -- <-- HIER kannst du einen alias verwenden: u_post.p_id AS p_id,
    u_post.u_id, 
    u_post.p_like, 
    u_post.p_heart, 
    u_post.post, 
    u_post.date,

   comments.p_id, 
   comments.u_id, 
   comments.comment, 
   comments.date_comment

   FROM user 
   JOIN u_post ON u_post.u_id = user.id 
   LEFT JOIN comments ON comments.p_id = u_post.p_id 
   ORDER BY date DESC")

)

BTW:

Daten die ausgegeben werden immer maskieren.

Auch, wenn sie aus Deiner db sind.

zB

<li><h2><?php echo htmlspecialchars($row['username']); ?></h2></li>

Auch ids und was nicht alles.

Was ausgegeben wird, wird maskiert.

Ich empfehle Dir DATE zu nutzen (Du nutzt bestimmt gerade VARCHAR bei "termin")

Siehe https://www.php-kurs.com/beispiel-termi…p-und-mysql.htm

CREATE TABLE `termine` (  
    `id` INT( 10 ) NOT NULL AUTO_INCREMENT PRIMARY KEY ,  
    `datum` DATE NOT NULL ,  
    `titel` VARCHAR( 256 ) NOT NULL ,  
    `beschreibung` BLOB NOT NULL
) ENGINE = MYISAM ;

`datum` DATE

Bei Dir ist das Feld "termin" genannt.

Dein Feld "termin "sollte also so aussehen:

`termin` DATE NOT NULL

Beim einfügen der Daten musst Du dann natürlich auf das Format achten: 'Y-m-d H:i:s'

(siehe bsp http://php.net/manual/de/date…format-examples)

Beim lesen der Daten bekommst Du dann zB 2017-10-14 20:25:00

Das entspricht Jahr-Monat-Tag Stunden:Minuten:Sekunden

Das lässt sich dann auch leicht sortieren.

(Natürlich kannst Du auch schon beim Auslesen der Daten sortieren. zB "SELECT * FROM `table` WHERE ... ORDER BY `termin` ASC;")