php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > SQL / Datenbanken
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


SQL / Datenbanken Probleme mit SQL? Hier könnt ihr eure Fragen zu SQL (MySQL, PostgreSQL, MS-SQL und andere ANSI-SQL Server) los werden.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 08-10-2010, 22:24
escape
 Registrierter Benutzer
Links : Onlinestatus : escape ist offline
Registriert seit: Aug 2003
Ort: Diepholz
Beiträge: 142
escape ist zur Zeit noch ein unbeschriebenes Blatt
escape eine Nachricht über ICQ schicken
Standard 2 Tabellen selecten (Foreach problem)

Hallo ich benötige mal eure Hilfe.

Es geht darum das ich per PHP eine Suchanfrage an die Datenbank(MySql) schicke worauf ich das Ergebnis bekomme.

userid, username, geschlecht

Nun würde ich gern auf dieses Ergebnis, aus einer anderen Tabelle das Userbild dazupacken.

Die Suche ist sehr schmal gehalten und nicht begrenzt man kann nach 3 Kriterien suchen Mann, Frau und Paar.Was bedeutet das wenn man "MANN" sucht derzeit 20 Treffer hat. Ich habe derzeit keinen Ansatz wie ich aus einem ständig sich wechselnden Suchergebnis nun die jeweiligen Bilder der Personen zuordnen soll.

Einziger Anker ist die userid in Tabelle 'user' und 'bilder'

Derzeitiger Stand - Ausgabe fehlerfrei
PHP-Code:
$sql"SELECT 
        userid,username,geschlecht
            FROM
        date_user
            WHERE 
        geschlecht LIKE ('%"
.$_POST['geschlecht']."%')
    "
;

    
$result $db->query($sql); 
        
    
$res_suche = array();

    while(
$row mysql_fetch_assoc($result)) 
        {
      
$res_suche[] = $row;
        }

echo
"<pre>";
print_r ($res_suche);
echo
"</pre>"
PHP-Code:
Array
(
    [
0] => Array
        (
            [
userid] => 2
            
[username] => Meister Lampe
            
[geschlecht] => Mann
        
)

    [
1] => Array
        (
            [
userid] => 10
            
[username] => playboy
            
[geschlecht] => Mann
        
)

    [
2] => Array
        (
            [
userid] => 12
            
[username] => Sandmann
            
[geschlecht] => Mann
        
)

............. 

Wäre für Hilfe sehr dankbar.

Gruß Thomas

Geändert von escape (08-10-2010 um 22:28 Uhr)
Mit Zitat antworten
  #2 (permalink)  
Alt 08-10-2010, 23:09
code-kobold
 Registrierter Benutzer
Links : Onlinestatus : code-kobold ist offline
Registriert seit: Nov 2009
Beiträge: 22
code-kobold befindet sich auf einem aufstrebenden Ast
Standard

Versuche es mit einem JOIN:

Code:
SELECT 
user.username, user.geschlecht, bilder.bild
FROM user JOIN bilder
ON user.userid = bilder.userid
WHERE user.geschlecht LIKE 'm'
GZ,

Ron
Mit Zitat antworten
  #3 (permalink)  
Alt 08-10-2010, 23:17
escape
 Registrierter Benutzer
Links : Onlinestatus : escape ist offline
Registriert seit: Aug 2003
Ort: Diepholz
Beiträge: 142
escape ist zur Zeit noch ein unbeschriebenes Blatt
escape eine Nachricht über ICQ schicken
Standard

Boar danke das ware der Anstoss!
Habe es gleich umgeschrieben und nun passt es perfekt!!!!



Danke :O)
Mit Zitat antworten
  #4 (permalink)  
Alt 08-10-2010, 23:29
h3ll
 Registrierter Benutzer
Links : Onlinestatus : h3ll ist offline
Registriert seit: Mar 2008
Beiträge: 3.578
h3ll befindet sich auf einem aufstrebenden Ast
Standard

Aber was ganz wichtiges fehlt: Das Escaping der Werte.

Siehe:

PHP: mysql_real_escape_string - Manual

PHP: SQL Injection - Manual
Mit Zitat antworten
  #5 (permalink)  
Alt 08-10-2010, 23:45
escape
 Registrierter Benutzer
Links : Onlinestatus : escape ist offline
Registriert seit: Aug 2003
Ort: Diepholz
Beiträge: 142
escape ist zur Zeit noch ein unbeschriebenes Blatt
escape eine Nachricht über ICQ schicken
Standard

Habe es nun so escaped

Ich nutze sonst immer addslashes im Verbund mit magic_quotes und Fehlermeldungen aus.

So:
PHP-Code:
$s_ges addslashes(strip_tags($_POST['s_ges'])); 
Hoffe das ist richtig so?

Habe den neuen select nun so geschrieben ich hoffe das ist richtig so?
PHP-Code:

$suchbegriff 
$_POST['geschlecht'];
$suchbegriff mysql_real_escape_string($suchbegriff);


    
$sql"SELECT 
            date_user.username, date_user.geschlecht, date_bilder.thumb
            FROM 
                date_user 
            JOIN 
                date_bilder
            ON 
                date_user.userid = date_bilder.userid
            WHERE 
                date_user.geschlecht LIKE ('%$suchbegriff%')
            AND
                hidden = '0'
        "
;
        
        
$result $db->query($sql); 
        
        
        
$res_suche = array();
        while(
$row mysql_fetch_assoc($result))
        {
        
$res_suche[] = $row;

        } 

Und was ist nun die Ultimative Lösung?
Habe nun soviel gelesen über css xss ,... aber genau gescheckt habe ich nicht was nun die beste Lösung ist um sowas zu verhindern.


Gruß Thomas

Geändert von escape (09-10-2010 um 00:08 Uhr)
Mit Zitat antworten
  #6 (permalink)  
Alt 09-10-2010, 00:11
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard

Zitat:
Zitat von escape Beitrag anzeigen
Habe nun soviel gelesen über css xss
Scheinbar nicht genug, bringst nämlich alles durcheinander. Hier gehts um SQL-Injection.

Wieso vergleichst du das Geschlecht eigentlich mit LIKE? Ist das bei dir im Userprofil und im Suchformular eine Freitexteingabe?
Mit Zitat antworten
  #7 (permalink)  
Alt 09-10-2010, 00:40
escape
 Registrierter Benutzer
Links : Onlinestatus : escape ist offline
Registriert seit: Aug 2003
Ort: Diepholz
Beiträge: 142
escape ist zur Zeit noch ein unbeschriebenes Blatt
escape eine Nachricht über ICQ schicken
Standard

Nein es ist ein fester Wert aber es sollen noch andere Kriterien hinzugefügt werden. Gebe dir aber Recht im derzeitigen Fall ist die Like@Wildcard überflüssig
Mit Zitat antworten
  #8 (permalink)  
Alt 09-10-2010, 07:58
h3ll
 Registrierter Benutzer
Links : Onlinestatus : h3ll ist offline
Registriert seit: Mar 2008
Beiträge: 3.578
h3ll befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von escape Beitrag anzeigen
Habe es nun so escaped

Ich nutze sonst immer addslashes im Verbund mit magic_quotes und Fehlermeldungen aus.

So:
PHP-Code:
$s_ges addslashes(strip_tags($_POST['s_ges'])); 
Hoffe das ist richtig so?
Nein, addslashes() ist die falsche Funktion dafür.
Mit Zitat antworten
  #9 (permalink)  
Alt 09-10-2010, 14:16
escape
 Registrierter Benutzer
Links : Onlinestatus : escape ist offline
Registriert seit: Aug 2003
Ort: Diepholz
Beiträge: 142
escape ist zur Zeit noch ein unbeschriebenes Blatt
escape eine Nachricht über ICQ schicken
Standard

Also nehme ich für die $_POST Befehle an die Datenbank

PHP-Code:
$suchbegriff $_POST['geschlecht']; 
$suchbegriff mysql_real_escape_string($suchbegriff); 
Ist das so richtig oder funktioniert das mysql_real_escape__query nur innerhalb eines querys?

PHP-Code:
$suchbegriff*=*mysql_real_escape_string($suchbegriff); 
Gruss Thomas

Geändert von escape (09-10-2010 um 14:30 Uhr)
Mit Zitat antworten
  #10 (permalink)  
Alt 09-10-2010, 14:29
wahsaga
  Moderator
Links : Onlinestatus : wahsaga ist offline
Registriert seit: Sep 2001
Beiträge: 25.236
wahsaga befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von escape Beitrag anzeigen
Ist das so richtig oder funktioniert das mysql_real_escape_string nur innerhalb einer Query?
Das ist so korrekt (vom unsinnigen umkopieren des Parameters abgesehen), und nein, die Funktion funktioniert nicht nur „innerhalb einer Query“ - es gibt überhaupt kein „innerhalb einer Query“, weil du aus Sicht von PHP da zunächst mal nur Strings erzeugst.
Allerdings muss für diese Funktion bereits eine geöffnete Datenbankverbindung vorliegen.
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
Mit Zitat antworten
  #11 (permalink)  
Alt 09-10-2010, 14:38
escape
 Registrierter Benutzer
Links : Onlinestatus : escape ist offline
Registriert seit: Aug 2003
Ort: Diepholz
Beiträge: 142
escape ist zur Zeit noch ein unbeschriebenes Blatt
escape eine Nachricht über ICQ schicken
Standard

Ah ok das habe ich nun verstanden.
Aber wie kann ich nun testen ob das mysql real escape string nun auch funktioniert?

Gruss Thomas
Mit Zitat antworten
  #12 (permalink)  
Alt 09-10-2010, 14:49
wahsaga
  Moderator
Links : Onlinestatus : wahsaga ist offline
Registriert seit: Sep 2001
Beiträge: 25.236
wahsaga befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von escape Beitrag anzeigen
Aber wie kann ich nun testen ob das mysql real escape string nun auch funktioniert?
Bspw. in dem du dir einen Testfall erstellst, von dem du weißt, dass er ohne dieses Escaping nicht funktionieren würde.
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
for / foreach problem andygyr PHP Developer Forum 11 21-09-2007 22:29
Problem mit foreach kasIQ PHP Developer Forum 4 26-12-2006 20:12
Problem mit foreach Guncity PHP Developer Forum 3 03-02-2004 15:01
Zwei Tabellen gleichzeitig selecten theangel SQL / Datenbanken 1 22-10-2003 11:12
Problem mit foreach vierauge2 PHP Developer Forum 7 23-07-2002 20:26

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

PHP Server Monitor

PHP Server Monitor ist ein Skript, das prüft, ob Ihre Websites und Server betriebsbereit sind.

11.09.2018 Berni | Kategorie: PHP/ Security
PHP WEB STATISTIK ansehen PHP WEB STATISTIK

Die PHP Web Statistik bietet Ihnen ein einfach zu konfigurierendes Script zur Aufzeichnung und grafischen und textuellen Auswertung der Besuchern Ihrer Webseite. Folgende zeitlichen Module sind verfügbar: Jahr, Monat, Tag, Wochentag, Stunde Folgende son

28.08.2018 phpwebstat | Kategorie: PHP/ Counter
Affilinator - Affilinet XML Produktlisten Skript

Die Affilinator Affilinet XML Edition ist ein vollautomatisches Skript zum einlesen und darstellen der Affili.net (Partnerprogramm Netzwerk) Produktlisten und Produktdaten. Im Grunde gibt der Webmaster seine Affilinet PartnerID ein und hat dann unmittelb

27.08.2018 freefrank@ | Kategorie: PHP/ Partnerprogramme
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 04:49 Uhr.