php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > SQL / Datenbanken
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


SQL / Datenbanken Probleme mit SQL? Hier könnt ihr eure Fragen zu SQL (MySQL, PostgreSQL, MS-SQL und andere ANSI-SQL Server) los werden.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 03-10-2010, 14:16
matt_dominik
 Registrierter Benutzer
Links : Onlinestatus : matt_dominik ist offline
Registriert seit: Oct 2010
Beiträge: 13
matt_dominik befindet sich auf einem aufstrebenden Ast
Standard mysql varchar geht nicht

Hallo,

Habe derzeit folgendes Problem.
Ich will daten in eine mysql-datenbank schreiben, doch kann ich nur zahlen einschreiben solbald ich irgendein Text schreibe kommt folgende Fehlermeldung:
Unknown column 'test' in 'field list'

Da ich ein bisschen am herumprobieren was habe ich dieses script soweit zurückgebaut das ich nur title in die Tabelle schreiben will.

Die Tabelle ist so aufgebaut:

CREATE TABLE IF NOT EXISTS `gb` (
`id` int(32) NOT NULL auto_increment,
`title` varchar(255) NOT NULL,
`text` text NOT NULL,
`time` int(32) NOT NULL,
`name` varchar(255) NOT NULL,
PRIMARY KEY (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=latin1 AUTO_INCREMENT=2 ;


Hier das Script:

PHP-Code:
if($_POST["title"] != "")
{

        
$sql_insert 'INSERT INTO gb SET title='.$_POST["title"];
        
$query $db->query$sql_insert );
            
            if(
false == $query)
            {
                
                echo 
"Konnte nicht erstellt werden.".$db->error;
                
            } else {
                
                echo 
"Wurde erfolgreich erstellt";
                
            }
            


Ich habe leider keine Ahnung mehr. Wie gesagt dies ist nur dann wenn ich Text in die Tabelle schreiben will wenn ich Zahlen eingebe dann geht dies.

danke für eure Antwort.

gruß
Dominik
Mit Zitat antworten
  #2 (permalink)  
Alt 03-10-2010, 14:30
wahsaga
  Moderator
Links : Onlinestatus : wahsaga ist offline
Registriert seit: Sep 2001
Beiträge: 25.236
wahsaga befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von matt_dominik Beitrag anzeigen
Wie gesagt dies ist nur dann wenn ich Text in die Tabelle schreiben will wenn ich Zahlen eingebe dann geht dies.
Wenn du in einem PHP-Script Text oder Zahlen verwendest, dann notierst du die doch auch auf zwei verschiedene Arten - bringt dich das nicht mal ansatzweise zum nachdenken, dass das in SQL ähnlich sein könnte ...?

MySQL :: MySQL 5.1 Reference Manual :: 8.1.1 Strings
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
Mit Zitat antworten
  #3 (permalink)  
Alt 03-10-2010, 15:41
h3ll
 Registrierter Benutzer
Links : Onlinestatus : h3ll ist offline
Registriert seit: Mar 2008
Beiträge: 3.578
h3ll befindet sich auf einem aufstrebenden Ast
Standard

Dein Script ist anfällig für gefährliche SQL-Injections.
Mit Zitat antworten
  #4 (permalink)  
Alt 03-10-2010, 16:29
matt_dominik
 Registrierter Benutzer
Links : Onlinestatus : matt_dominik ist offline
Registriert seit: Oct 2010
Beiträge: 13
matt_dominik befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Wenn du in einem PHP-Script Text oder Zahlen verwendest, dann notierst du die doch auch auf zwei verschiedene Arten - bringt dich das nicht mal ansatzweise zum nachdenken, dass das in SQL ähnlich sein könnte ...?
ja klar, danke habs nun gleich einmal gefunden.
Naja programmiere ja auch nicht gerade am besten hier und mal wieder.

wegen sql-injection ich überprüfe gleich _POST, _GET, _SESSION, _COOKIE

PHP-Code:
$_GET =     secure($_GET);
$_POST =    secure($_POST);
$_SESSION secure($_SESSION);
$_COOKIE =  secure($_COOKIE); 
in der secure-funktion ist dann alles drin wo überprüft wird.

Danke für die Antworten.
Mit Zitat antworten
  #5 (permalink)  
Alt 03-10-2010, 19:51
h3ll
 Registrierter Benutzer
Links : Onlinestatus : h3ll ist offline
Registriert seit: Mar 2008
Beiträge: 3.578
h3ll befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von matt_dominik Beitrag anzeigen
ja klar, danke habs nun gleich einmal gefunden.
Naja programmiere ja auch nicht gerade am besten hier und mal wieder.

wegen sql-injection ich überprüfe gleich _POST, _GET, _SESSION, _COOKIE

PHP-Code:
$_GET =     secure($_GET);
$_POST =    secure($_POST);
$_SESSION secure($_SESSION);
$_COOKIE =  secure($_COOKIE); 
in der secure-funktion ist dann alles drin wo überprüft wird.
Das ist der falsche Weg. Du sollst nicht überprüfen, sondern die Daten richtig maskieren. Und das kannst du nur direkt beim Query machen. Das hat auch nichts mit $_GET, $_POST, usw. zu tun. Benutzerdaten können auch aus anderen Variablen und Datenquellen kommen.
Mit Zitat antworten
  #6 (permalink)  
Alt 03-10-2010, 19:54
gourmet
 Registrierter Benutzer
Links : Onlinestatus : gourmet ist offline
Registriert seit: Feb 2007
Beiträge: 154
Blog-Einträge: 1
gourmet ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Zitat von matt_dominik Beitrag anzeigen

Hier das Script:

PHP-Code:
if($_POST["title"] != "")
{

        
$sql_insert 'INSERT INTO gb SET title='.$_POST["title"];
        
$query $db->query$sql_insert );
            
            if(
false == $query)
            {
                
                echo 
"Konnte nicht erstellt werden.".$db->error;
                
            } else {
                
                echo 
"Wurde erfolgreich erstellt";
                
            }
            

Hallo,

wenn dein Script ^^ so Aussieht, kann das auch nicht funktionieren.
MySQL :: MySQL 5.1 Referenzhandbuch :: 13.2.4 INSERT
guck dir mal ein, wie ein INSERT Query aussehen muß!

VG
gourmet
Mit Zitat antworten
  #7 (permalink)  
Alt 03-10-2010, 23:10
sili
 Registrierter Benutzer
Links : Onlinestatus : sili ist offline
Registriert seit: Feb 2004
Beiträge: 115
sili ist zur Zeit noch ein unbeschriebenes Blatt
Standard

PHP-Code:
$sql_insert "INSERT INTO gb SET title='" $_POST['title'] . "'"
Mit Zitat antworten
  #8 (permalink)  
Alt 03-10-2010, 23:17
h3ll
 Registrierter Benutzer
Links : Onlinestatus : h3ll ist offline
Registriert seit: Mar 2008
Beiträge: 3.578
h3ll befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von sili Beitrag anzeigen
PHP-Code:
$sql_insert "INSERT INTO gb SET title='" $_POST['title'] . "'"
Netter Versuch, aber falsch. Es fehlt die Maskierung der Daten (was ich hier schon erwähnt habe).
Mit Zitat antworten
  #9 (permalink)  
Alt 04-10-2010, 19:57
sili
 Registrierter Benutzer
Links : Onlinestatus : sili ist offline
Registriert seit: Feb 2004
Beiträge: 115
sili ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Zitat von h3ll Beitrag anzeigen
Netter Versuch, aber falsch. Es fehlt die Maskierung der Daten (was ich hier schon erwähnt habe).
Falsch nicht. Aber unschön (wie du ja schon erwähnt hast).
Mit Zitat antworten
  #10 (permalink)  
Alt 04-10-2010, 20:25
h3ll
 Registrierter Benutzer
Links : Onlinestatus : h3ll ist offline
Registriert seit: Mar 2008
Beiträge: 3.578
h3ll befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von sili Beitrag anzeigen
Falsch nicht. Aber unschön (wie du ja schon erwähnt hast).
Nein, es ist ein sehr schwerer Fehler. Es sind zwar nur ein paar Zeichen Code, aber die Auswirkungen sind fatal.

Jeder, der halbwegs die Grundlagen beherrscht, darf solche Fehler nicht machen.

Geändert von h3ll (04-10-2010 um 20:37 Uhr)
Mit Zitat antworten
  #11 (permalink)  
Alt 05-10-2010, 04:28
matt_dominik
 Registrierter Benutzer
Links : Onlinestatus : matt_dominik ist offline
Registriert seit: Oct 2010
Beiträge: 13
matt_dominik befindet sich auf einem aufstrebenden Ast
Standard



PHP-Code:
$sql_insert "INSERT INTO gb SET title='" .mysql_real_escape_string($_POST['title']). "'"
ich glaube so wäre es richtig und wenn ich es nun richtig verstanden habe zahlen besser mit
PHP-Code:
$id=intval($id); 
sichern.
Mit Zitat antworten
  #12 (permalink)  
Alt 05-10-2010, 08:25
eagle275
 Registrierter Benutzer
Links : Onlinestatus : eagle275 ist offline
Registriert seit: Jun 2010
Beiträge: 403
eagle275 befindet sich auf einem aufstrebenden Ast
Standard

das $id = intval ($id) ist für dein PHP selbst - wenn die Zahl aber aus einer Eingabe stammt, würde ich selbst diese mit mysql_real_escape_string speichern - und in Quotes in die Datenbank speichern - nur für den Fall, dass jemand dort versucht ne SQL injection anzusetzen ...

Alternativ müsstest du nach dem intval halt prüfen ob

$id=0 nun aus Eingabe "0" entstanden ist oder weil dort Buchstaben oder andere Zeichen eingegeben wurden, die sich dann nicht in eine Zahl konvertieren lassen. Wobei man imme etwas aufpassen muss auf die "Eigenintelligenz" von PHP, bei der automatischen Typkonvertierung ("0123" könnte auch als Oktal-Zahl aufgefasst werden und wäre dann was anderes als Dezimal 123)
__________________

Wer LESEN kann, ist klar im Vorteil!
Mit Zitat antworten
  #13 (permalink)  
Alt 05-10-2010, 11:04
h3ll
 Registrierter Benutzer
Links : Onlinestatus : h3ll ist offline
Registriert seit: Mar 2008
Beiträge: 3.578
h3ll befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von eagle275 Beitrag anzeigen
das $id = intval ($id) ist für dein PHP selbst - wenn die Zahl aber aus einer Eingabe stammt, würde ich selbst diese mit mysql_real_escape_string speichern - und in Quotes in die Datenbank speichern - nur für den Fall, dass jemand dort versucht ne SQL injection anzusetzen ...

Alternativ müsstest du nach dem intval halt prüfen ob

$id=0 nun aus Eingabe "0" entstanden ist oder weil dort Buchstaben oder andere Zeichen eingegeben wurden, die sich dann nicht in eine Zahl konvertieren lassen. Wobei man imme etwas aufpassen muss auf die "Eigenintelligenz" von PHP, bei der automatischen Typkonvertierung ("0123" könnte auch als Oktal-Zahl aufgefasst werden und wäre dann was anderes als Dezimal 123)
Prüfen musst du so oder so. Auch MySQL hat eine schwache Typisierung und wandelt Strings automatisch in einen Integer um.
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
MYSQL Update geht nicht ignition PHP Developer Forum 7 15-10-2007 22:00
CHAR / VARCHAR - mysql 5+ nobody2 SQL / Datenbanken 1 18-12-2006 00:31
order by rand mit VARCHAR aber nicht mit TEXT geugen SQL / Datenbanken 6 28-07-2005 20:21
MYSQL geht nicht lex41 Fragen zu Installation & Konfiguration (LAMP, WAMP & Co.) 2 02-12-2003 19:40
WAMP - mysql geht nicht compuboy1010 Fragen zu Installation & Konfiguration (LAMP, WAMP & Co.) 6 18-07-2003 19:42

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

PHP Server Monitor

PHP Server Monitor ist ein Skript, das prüft, ob Ihre Websites und Server betriebsbereit sind.

11.09.2018 Berni | Kategorie: PHP/ Security
PHP WEB STATISTIK ansehen PHP WEB STATISTIK

Die PHP Web Statistik bietet Ihnen ein einfach zu konfigurierendes Script zur Aufzeichnung und grafischen und textuellen Auswertung der Besuchern Ihrer Webseite. Folgende zeitlichen Module sind verfügbar: Jahr, Monat, Tag, Wochentag, Stunde Folgende son

28.08.2018 phpwebstat | Kategorie: PHP/ Counter
Affilinator - Affilinet XML Produktlisten Skript

Die Affilinator Affilinet XML Edition ist ein vollautomatisches Skript zum einlesen und darstellen der Affili.net (Partnerprogramm Netzwerk) Produktlisten und Produktdaten. Im Grunde gibt der Webmaster seine Affilinet PartnerID ein und hat dann unmittelb

27.08.2018 freefrank@ | Kategorie: PHP/ Partnerprogramme
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 14:47 Uhr.