[HaBo]

TeeKayo2 · 24.04.06, 17:55

Moin Leute,

Ich bin gerade dabei für meine Site n Loginscript zu schreiben
Doch scheitere ich bei der SQL Abfrage.

Code:

 $result = mysql_query("SELECT * FROM login WHERE username='user'");

Mehr will ich ersteinmal garnicht überprüfen aber selbst das geht nicht.

Ich kann noch ein klares " SELECT * from login WHERE username!= "" "
Da bekomm ich Ergebnisse.
Ich kann auch einzelene Rows darstellen.

Aber DAS diese klitzekleine Abfrage mag mich nicht.

Dazu das ihr auch ned glaubt ich nutz den falschen Namen noch n htmlsnipped den ich hierzu verwende:

Code:

$user     = $_POST["user"];
$passwort = $_POST["pass"]

Weiss einer da nen Rat, ich versteh es einfach nciht mehr.

MfG,

Tk

$oul · 24.04.06, 17:57

Ähm, muss es nicht == heißen?

mfg $oul

Anzeige

- Anzeige -

**Mackz** · 24.04.06, 18:07

Zitat:

Original von TeeKayo2

Code:

 $result = mysql_query("SELECT * FROM login WHERE username='user'");

da fehlt ein $
das muss $user heißen

Deine Abfrage ist allerings nicht sicher, da der gepostete Inhalt ungefiltert im Query Verwendung findet. Sicherer wäre es, wenn zum Beispiel nur mit Hashes gearbeitet werden würde. z.b. WHERE MD5(username)=MD5($user)

LX · 24.04.06, 18:09

$oul:
Nein, mySQL vergleicht mit einem einfachen Gleichheitszeichen.

Wegen des Problems, welches Mackz anspricht: Stelle vorher sicher, dass kein fremder Code in $user landen kann, zur Not durch escapen von Quotes (falls magic_quotes nicht aktiviert sind).

TeeKayo2 · 24.04.06, 18:21

Hi,

Ersteinmal danke für eure Antworten nur ist es leider nichts davon.

Das es in SQL ned == ist is klar ^^
Das mit dem $ is Jacke wie Hose wie ich in einige Beispielscripten sah und ich habe sowieso beides ausprobiert, hier nur letzten Versuch gepostet.

Das Sicherheitsproblem wird noch gelöst.
Das Passwort verschlüssel ich natürlich nach MD5 den Usernamen <B>bisher</B> nicht, ist aber ne gute Idee um aufs escapen zu verzichten!! OO

Also kann es sich nun noch jemand erklären

MfG,

Teekayo?

Imrahil · 24.04.06, 18:22

bitte anstatt:

Code:

$user     = $_POST["user"];
$passwort = $_POST["pass"];

einfach

Code:

$user     = mysql_real_escape_string($_POST["user"]);
$passwort = mysql_real_escape_string($_POST["pass"]);

benutzen.
Der korrekte Query ist ja oben schon erklärt worden

Btw. bitte poste immer Fehlermeldungen dazu falls welche kommen oder was die ausgabe ist.
Das hilft bei der Fehlersuche

Imrahil

TeeKayo2 · 24.04.06, 18:23

... nur damits man sieht ich hab geantwortet hast unpassend gepostet ^^

mfg,

tk

**Mackz** · 24.04.06, 20:18

Zitat:

Original von TeeKayo2
Das mit dem $ is Jacke wie Hose

Nein ist es nicht.
Mit 'user' sucht er nach dem String "user"
Mit '$user' sucht er nach dem Inhalt der Variable $user.

Hier ein Login-Script Tutorial: http://www.php-resource.de/tutorials/read/38/1/

xsheep · 24.04.06, 21:51

Ich glaube, du musst es so machen, aber ich bin mir nicht sicher, versuchs einfach mal :

Code:

$result = mysql_query("SELECT * FROM login WHERE username='user'");
$rows = mysql_fetch_array($result, MYSQL_NUM);

if($_POST['user']==rows[1]&&$_POST['pass']=rows[2]){


  // Login erfolgreich

}else{

  // Falsche daten

}

(Du musst evtl. rows[1] bzw. rows[2] abändern)

cya xsheep

Blacki · 24.04.06, 22:13

Kann man dann aber nicht nur einen User machen?

treo · 24.04.06, 23:27

es muss auf jedenfall $user sein, alles andere wie schon gesagt ist falsch
weiterhin ist dann noch zusagen das ein SELECT * sehr aufwendig ist, du solltest lieber angeben was genau du haben willst.
echo mysql_error();
sollte auch nach jedem query drin sein.
und auch das escapen wie imrahil es schon vorgeschlagen hat ist wichtig,
du kannst aber auch mysql_escape_string statt mysql_real_escape_string verwenden, seine variante passt sich jedoch der verwerdeten verbindung an

TeeKayo2 · 25.04.06, 07:25

Hallo,

Ich habs seid Gestern, das Board war nur ledier nicht in der Lage meine Antwort zu posten.

Es lag daran das ich nur array[1] und 2 ausgegebe habe aber nach 0 gefragt hatte, kein wunder das dort nichts erscheint Oo

Mit dem escapen, das ist lustig, ich hatte nämlich schon selbst einige SQL injections versucht aer bemerkt das Php automatisch "stripslashes" ausführt.

Trotzdem danke für eure Hilfe,

MfG,

TeeKayo?

treo · 25.04.06, 16:00

du meinst wohl addslashes? Du solltest dich aber nicht drauf verlassen das gpc magic quotes an ist, denn genau das ist dafür verantwortlich, soweit ich mich erinnere ist das in einer der neueren php versionen schon nichtmal mehr dabei

TeeKayo2 · 27.04.06, 07:30

Hi,

Ja klar mein ich Add ned strip ...

Wieso verlassen, ich "verlasse" mich nciht darauf.
hab nur gesehen das es mir nicht möglich war ne Injection zu machen und das ich dann einen neuen user namens" \'Drop ..." in meiner DB hatte

Wenn ich fertig bin mit dem gröbsten auf der Page kommen noch einige checks, da könnt ihr euch dann auch gerne wieder beteiligen

!

MfG,

TK

LordZed · 02.05.06, 17:33

Zitat:

Original von treo
es muss auf jedenfall $user sein, alles andere wie schon gesagt ist falsch

Das stimmt! Was hier wohl verwirrung gebracht hat ist, dass man bei doppelten Anführungszeichen die Variablen nicht escapen muss um gegensatz zu einfachen Anführungszeichen, wo man jede Variable escapen muss. Wie gesagt müssten wir wissen, wie die Fehlermeldung lautet um dir genauer helfen zu können. Kann vieles sein, was da los ist ^^

//EDIT

Also wenn user eine PHP-Variable ist muss auf jeden Fall ein $ davor. Der übersicht halber würde ich es noch escapen. Zumindest mache ich das immer. Und zur Fehlervorbeugung um Tabellen-/Spaltennamen ` setzen.

Sprich:

Code:

$result = mysql_query("SELECT * FROM `login` WHERE `username`='".$user."'");

Oder ist das Problem inzwischen behoben?

Anzeige

- Anzeige -

24.04.06, 17:55	#1 (permalink)
TeeKayo2 Registriert seit: 12.10.05 Likes: 0	Einfache SQL Abfrage zwingt mich in die Knie HILFE Anzeige Moin Leute, Ich bin gerade dabei für meine Site n Loginscript zu schreiben Doch scheitere ich bei der SQL Abfrage. Code: $result = mysql_query("SELECT * FROM login WHERE username='user'"); Mehr will ich ersteinmal garnicht überprüfen aber selbst das geht nicht. Ich kann noch ein klares " SELECT * from login WHERE username!= "" " Da bekomm ich Ergebnisse. Ich kann auch einzelene Rows darstellen. Aber DAS diese klitzekleine Abfrage mag mich nicht. Dazu das ihr auch ned glaubt ich nutz den falschen Namen noch n htmlsnipped den ich hierzu verwende: Code: $user = $_POST["user"]; $passwort = $_POST["pass"] Weiss einer da nen Rat, ich versteh es einfach nciht mehr. MfG, Tk

24.04.06, 17:57	#2 (permalink)
$oul Registriert seit: 19.12.04 Likes: 2	Ähm, muss es nicht == heißen? mfg $oul __________________ Der eigene Wille müsste stets ein wenig mächtiger sein, als es das eigene Selbst ist. Aber Wunschdenken stellt ein Risiko dar und so etwas können wir uns in einem Weltkapitalismus nicht leisten.

24.04.06, 18:09	#4 (permalink)
LX Moderator Registriert seit: 14.02.06 Likes: 21	$oul: Nein, mySQL vergleicht mit einem einfachen Gleichheitszeichen. Wegen des Problems, welches Mackz anspricht: Stelle vorher sicher, dass kein fremder Code in $user landen kann, zur Not durch escapen von Quotes (falls magic_quotes nicht aktiviert sind). __________________ "Ever tried. Ever failed. No matter. Try again. Fail again. Fail better." - Samuel Beckett JS BB LX UP

24.04.06, 18:22	#6 (permalink)
Imrahil Registriert seit: 09.01.05 Likes: 0	bitte anstatt: Code: $user = $_POST["user"]; $passwort = $_POST["pass"]; einfach Code: $user = mysql_real_escape_string($_POST["user"]); $passwort = mysql_real_escape_string($_POST["pass"]); benutzen. Der korrekte Query ist ja oben schon erklärt worden Btw. bitte poste immer Fehlermeldungen dazu falls welche kommen oder was die ausgabe ist. Das hilft bei der Fehlersuche Imrahil

24.04.06, 21:51	#9 (permalink)
xsheep Registriert seit: 29.01.06 Likes: 0	Ich glaube, du musst es so machen, aber ich bin mir nicht sicher, versuchs einfach mal : Code: $result = mysql_query("SELECT * FROM login WHERE username='user'"); $rows = mysql_fetch_array($result, MYSQL_NUM); if($_POST['user']==rows[1]&&$_POST['pass']=rows[2]){ // Login erfolgreich }else{ // Falsche daten } (Du musst evtl. rows[1] bzw. rows[2] abändern) cya xsheep

24.04.06, 18:21	#5 (permalink)
TeeKayo2 Themenstarter Registriert seit: 12.10.05 Likes: 0	Hi, Ersteinmal danke für eure Antworten nur ist es leider nichts davon. Das es in SQL ned == ist is klar ^^ Das mit dem $ is Jacke wie Hose wie ich in einige Beispielscripten sah und ich habe sowieso beides ausprobiert, hier nur letzten Versuch gepostet. Das Sicherheitsproblem wird noch gelöst. Das Passwort verschlüssel ich natürlich nach MD5 den Usernamen <B>bisher</B> nicht, ist aber ne gute Idee um aufs escapen zu verzichten!! OO Also kann es sich nun noch jemand erklären MfG, Teekayo?

24.04.06, 18:23	#7 (permalink)
TeeKayo2 Themenstarter Registriert seit: 12.10.05 Likes: 0	... nur damits man sieht ich hab geantwortet hast unpassend gepostet ^^ mfg, tk

24.04.06, 22:13	#10 (permalink)
Blacki Registriert seit: 24.10.05 Likes: 0	Kann man dann aber nicht nur einen User machen?

24.04.06, 23:27	#11 (permalink)
treo Registriert seit: 16.02.04 Likes: 0	es muss auf jedenfall $user sein, alles andere wie schon gesagt ist falsch weiterhin ist dann noch zusagen das ein SELECT * sehr aufwendig ist, du solltest lieber angeben was genau du haben willst. echo mysql_error(); sollte auch nach jedem query drin sein. und auch das escapen wie imrahil es schon vorgeschlagen hat ist wichtig, du kannst aber auch mysql_escape_string statt mysql_real_escape_string verwenden, seine variante passt sich jedoch der verwerdeten verbindung an

25.04.06, 07:25	#12 (permalink)
TeeKayo2 Themenstarter Registriert seit: 12.10.05 Likes: 0	Hallo, Ich habs seid Gestern, das Board war nur ledier nicht in der Lage meine Antwort zu posten. Es lag daran das ich nur array[1] und 2 ausgegebe habe aber nach 0 gefragt hatte, kein wunder das dort nichts erscheint Oo Mit dem escapen, das ist lustig, ich hatte nämlich schon selbst einige SQL injections versucht aer bemerkt das Php automatisch "stripslashes" ausführt. Trotzdem danke für eure Hilfe, MfG, TeeKayo?

25.04.06, 16:00	#13 (permalink)
treo Registriert seit: 16.02.04 Likes: 0	du meinst wohl addslashes? Du solltest dich aber nicht drauf verlassen das gpc magic quotes an ist, denn genau das ist dafür verantwortlich, soweit ich mich erinnere ist das in einer der neueren php versionen schon nichtmal mehr dabei

27.04.06, 07:30	#14 (permalink)
TeeKayo2 Themenstarter Registriert seit: 12.10.05 Likes: 0	Hi, Ja klar mein ich Add ned strip ... Wieso verlassen, ich "verlasse" mich nciht darauf. hab nur gesehen das es mir nicht möglich war ne Injection zu machen und das ich dann einen neuen user namens" \'Drop ..." in meiner DB hatte Wenn ich fertig bin mit dem gröbsten auf der Page kommen noch einige checks, da könnt ihr euch dann auch gerne wieder beteiligen ! MfG, TK

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Mysql-Abfrage stellt mich vor ein Problem	1000sassa	(Web-) Design und webbasierte Sprachen	2	12.02.07 14:03
Apache hasst mich,php hilfe	Headmaster	Code Kitchen	4	01.02.07 13:16
MySQL Abfrage bringt mich zur Verzweiflung	MorbZ!!!	(Web-) Design und webbasierte Sprachen	7	25.07.06 08:24
Skype/Hilfe- Ich höre mich selber!	luky	Die Problemzone	7	17.05.06 09:09
Hilfe [Scotty] hat mich gescannt!!	Easyrider	(In)security allgemein	16	18.10.04 02:53

[HaBo]

Einfache SQL Abfrage zwingt mich in die Knie *HILFE*

Einfache SQL Abfrage zwingt mich in die Knie HILFE