php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > SQL / Datenbanken
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


SQL / Datenbanken Probleme mit SQL? Hier könnt ihr eure Fragen zu SQL (MySQL, PostgreSQL, MS-SQL und andere ANSI-SQL Server) los werden.

Antwort
 
LinkBack Themen-Optionen Bewertung: Bewertung: 2 Stimmen, 5,00 durchschnittlich.
  #1 (permalink)  
Alt 03-10-2012, 10:34
ImmerOn
 Registrierter Benutzer
Links : Onlinestatus : ImmerOn ist offline
Registriert seit: Aug 2012
Beiträge: 41
ImmerOn befindet sich auf einem aufstrebenden Ast
Standard MySQLi-Abfrage

Guten Morgen,

ich bin gerade dabei, eine Rangliste in PHP / MySQL zu programmieren.
Die Rangliste war nicht weiter schwer, jetzt wollte ich aber noch eine Suchfunktion hinzufügen und komme mit der MySQLi-Abfrage nicht weiter, bzw. weiß nicht was ich falsch gemacht habe.
Hier erstmal der Code der Abfrage:
PHP-Code:
$ranglistesuche mysqli_query ($db"SELECT name, ehre, level, gildenname
        FROM
        (
            SELECT name, ehre, level, gildenname, @num := @num +1 AS rang
            FROM
            (
                SELECT name, ehre, level, gildenname, @num :=0
                FROM user ORDER BY ehre DESC, level DESC
            ) AS t1
        ) AS t2
        WHERE name LIKE $charsuche LIMIT 1"
);
        
$getRang mysqli_fetch_assoc($ranglistesuche);
        
$aktseite ceil($getRang["rang"] / $maxanz); 
Zur Erklärung:
$aktseite = die Seite der Rangliste, welche ausgegeben werden soll.
$maxanz = maximale Einträge pro Seite.

$charsuche = falls $_POST["char"] wirklich ein Spielername ist, wird dieser in $charsuche gespeichert, also ist das der eingegebene Spielername in dem Suchformular.
$charsuche liefert auch immer das richtige Ergebnis, also den eingegebenen Spielernamen, falls dieser vorhanden.

$getRang["rang"] wäre aus der Abfrage eben der Wert "rang", aber den bekomme ich nicht raus, also wenn ich mir den Wert mit echo $getRang["rang"]; ausgeben lasse, wird auch nichts angezeigt.
Von der Zeichensetzung müsste die Abfrage auch richtig sein, da meine Seite ganz normal ausgeführt wird, auch wenn ich die Abfrage aufrufe...
$getRang["..."], da liefern alle Werte nichts zurück, also bei der echo-Ausgabe. z.B. $getRang["name"] $getRang["level"] usw... Also funktioniert wohl die komplette Abfrage nicht, ich weiß aber leider nicht was falsch ist... hab das ganze auch schon mit error-reporting und firebug untersucht, aber nichts wird ausgegeben...

Also die Abfrage oben habe ich mir aus einer normalen MySQL-Abfrage zusammengebaut und da ich MySQLi verwende, weiß ich jetzt eben nicht, was ich genau zu beachten habe, bzw. was da überhaupt falsch ist...

Wenn mir einer helfen könnte, wäre das sehr nett.

Liebe Grüße.

Geändert von ImmerOn (03-10-2012 um 10:40 Uhr)
Mit Zitat antworten
  #2 (permalink)  
Alt 03-10-2012, 10:49
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Dein äußerer SELECT liefert keinen Rang!
Warum sollte er dann auch im Ergebnis sein?

Wenn möglich verzichte auf Subselects.
Setze eher auf JOINs.
__________________
Wir werden alle sterben

Geändert von combie (03-10-2012 um 10:52 Uhr)
Mit Zitat antworten
  #3 (permalink)  
Alt 03-10-2012, 11:29
ImmerOn
 Registrierter Benutzer
Links : Onlinestatus : ImmerOn ist offline
Registriert seit: Aug 2012
Beiträge: 41
ImmerOn befindet sich auf einem aufstrebenden Ast
Standard

Hi,

das mit dem äußeren SELECT funktioniert aber so, zumindest bei der MySQL-Abfrage...
Bei meiner MySQLi-Abfrage wird ja auch kein $getRang["name"] ausgegeben und der Name ist aber im äußeren SELECT. Also stimmt da anscheinend schon was nicht.

Vielleicht gibts ja auch einfachere Möglichkeiten für die Suchfunktion.
Also in der Rangliste wird jedem Spieler ein Rang zugeteilt, sortiert über ehre und level. Für die Suchfunktion brauche ich nur den Rang für einen bestimmten Spieler, aber wie ich da drann komme weiß ich bis jetzt leider noch nicht. Der Rang ist ja nicht in einer Datenbank gespeichert, sondern wird während der SQL-Abfrage zugewießen.

Liebe Grüße.

ps: könntest du das mit den JOINs etwas genauer erklären?
Mit Zitat antworten
  #4 (permalink)  
Alt 03-10-2012, 12:42
Benutzerbild von mermshaus mermshaus
 Registrierter Benutzer
Links : Onlinestatus : mermshaus ist offline
Registriert seit: Jun 2009
Beiträge: 451
mermshaus wird schon bald berühmt werden
Standard

Error-Reporting angestellt?

PHP-Code:
error_reporting(-1);
ini_set('display_errors'1); 
- Debuggen - PHP Forum: phpforum.de (müsste mal auf mysqli umgeändert werden)

Im äußersten SELECT wählst du rang nicht mit aus:

Code:
 $ranglistesuche = mysqli_query ($db, "SELECT name, ehre, level, gildenname
Hier fehlen Anführungszeichen um $charname und vermutlich Escaping:

Code:
        WHERE name LIKE $charsuche LIMIT 1");
Joins:

- Coding Horror: A Visual Explanation of SQL Joins
- Relationale Datenbanken - Kapitel 7

Speziell zu deinem Problem:

- Common MySQL Queries

(Das ist eine tolle Seite, aber man muss sich durchbeißen.)
Mit Zitat antworten
  #5 (permalink)  
Alt 03-10-2012, 13:03
ImmerOn
 Registrierter Benutzer
Links : Onlinestatus : ImmerOn ist offline
Registriert seit: Aug 2012
Beiträge: 41
ImmerOn befindet sich auf einem aufstrebenden Ast
Standard

Hi,

error-reporting schon gemacht,
die Anführungszeichen bei $charsuche sind nicht notwendig, zumindest habe ich das bei keiner meiner Abfragen und dort werden die Variablen trotzdem richtig erkannt und alles funktioniert.

Erstmal danke für die Links, werde mich da jetzt durcharbeiten.

Falls jmd. eine bessere Lösung hat, hier nochmal eine genaue Beschreibung wie das funktionieren muss:
Es soll abgefragt werden, wie viele Einträge in der Tabelle user sind und dann jedem Eintrag ein Rang - sortiert nach Ehre und Level - zugeteilt werden. Dann soll ein bestimmter Eintrag ausgesucht werden und dessen Rang aber ausgegeben werden. Wie das jetzt zusammen funktioniert, keine Ahnung, das oben war eben ein Versuch dafür, in einer anderen Rangliste funktioniert es so, aber mit MySQL und nicht MySQLi und ich will jetzt nicht unbedingt für die eine Abfrage ein MySQL-Connect machen (wenn das ohne Einbußen geht, dann werd ichs wohl über MySQL machen).

Liebe Grüße.
Mit Zitat antworten
  #6 (permalink)  
Alt 03-10-2012, 13:22
Benutzerbild von mermshaus mermshaus
 Registrierter Benutzer
Links : Onlinestatus : mermshaus ist offline
Registriert seit: Jun 2009
Beiträge: 451
mermshaus wird schon bald berühmt werden
Standard

Zitat:
die Anführungszeichen bei $charsuche sind nicht notwendig, zumindest habe ich das bei keiner meiner Abfragen und dort werden die Variablen trotzdem richtig erkannt und alles funktioniert.
Ich werde jetzt nicht versuchen, dich argumentativ von der Notwendigkeit korrekter Syntax zu überzeugen.
Mit Zitat antworten
  #7 (permalink)  
Alt 03-10-2012, 13:40
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Ich sehe da auch keinen Unterschied zwischen der MySQL ind MySQLi Erweiterung. Das SQL Statement wird SO WIE ES IST zum MySQL Server gesendet.

Also muss beides mal das gleiche dabei raus kommen.
__________________
Wir werden alle sterben
Mit Zitat antworten
  #8 (permalink)  
Alt 03-10-2012, 13:41
ImmerOn
 Registrierter Benutzer
Links : Onlinestatus : ImmerOn ist offline
Registriert seit: Aug 2012
Beiträge: 41
ImmerOn befindet sich auf einem aufstrebenden Ast
Standard

@mermshaus:
Wenns ohne funktioniert wie mit und keine Fehler ausgegeben werden?
Oder wird hier die Funktionalität verändert / eingeschränkt? Ich kenn mich da nicht wirklich aus, ich sehe halt nur was funktioniert und was nicht...

Liebe Grüße.
Mit Zitat antworten
  #9 (permalink)  
Alt 03-10-2012, 13:49
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Zitat:
ich sehe halt nur was funktioniert und was nicht...
Strings gehören in Anführungszeichen!
Das ist (My)SQL Grundlagenwissen.


WHERE name LIKE Willi <-- tuts Dank einer Gnade des MySQL Parsers, andere DBMS hauen dir das um die Ohren
WHERE name LIKE Hans Peter <-- Da knallts
WHERE name LIKE 'Hans Peter' <-- Tuts auch unter Wasser und auf dem Mond

Mache dich mit SQL Injections vertraut.
Denn für diese hält dein Script Tür und Tor weit offen!
__________________
Wir werden alle sterben

Geändert von combie (03-10-2012 um 13:52 Uhr)
Mit Zitat antworten
  #10 (permalink)  
Alt 03-10-2012, 14:00
ImmerOn
 Registrierter Benutzer
Links : Onlinestatus : ImmerOn ist offline
Registriert seit: Aug 2012
Beiträge: 41
ImmerOn befindet sich auf einem aufstrebenden Ast
Standard

Hi,

ok danke, aber gegen MySQL-Injections ist mein Script zu 100% sicher, also 1. werden bei mir alle Form-Eingaben auf Länge und Inhalt überprüft und 2. verwende ich bei den MySQL Abfragen Prepared-Statements, ein Moderator hier hat gesagt, die Prepared-Statements sind zu 100% sicher gg MySQL-Injection, weil die Abfrage ja erst Platzhalter verwendet und die Variablen im nachhinein definiert werden...

LG
Mit Zitat antworten
  #11 (permalink)  
Alt 03-10-2012, 14:04
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Zitat:
Zitat von ImmerOn Beitrag anzeigen
Hi,

ok danke, aber gegen MySQL-Injections ist mein Script zu 100% sicher, also 1. werden bei mir alle Form-Eingaben auf Länge und Inhalt überprüft und 2. verwende ich bei den MySQL Abfragen Prepared-Statements, ein Moderator hier hat gesagt, die Prepared-Statements sind zu 100% sicher gg MySQL-Injection, weil die Abfrage ja erst Platzhalter verwendet und die Variablen im nachhinein definiert werden...

LG
Damit hat er recht!

Aber du zeigst dann Fantasiecode!
Denn hier
Zitat:
PHP-Code:
$ranglistesuche mysqli_query ($db"SELECT ..... 
ist nix mit Prepared Statements.

Und drittens, ändert das nichts an den Anführungszeichen.
__________________
Wir werden alle sterben
Mit Zitat antworten
  #12 (permalink)  
Alt 03-10-2012, 14:43
ImmerOn
 Registrierter Benutzer
Links : Onlinestatus : ImmerOn ist offline
Registriert seit: Aug 2012
Beiträge: 41
ImmerOn befindet sich auf einem aufstrebenden Ast
Standard

Hi,

die Rangliste ist die einzigste Funktion ohne Prepared-Statements, bzw. ist dort der einzigste Formular-Wert $_POST["char"] und der wird über ein Prepared-Statement mit der Datenbank verglichen und wenn dieser existiert in der Datenbank, wird er als $charsuche gespeichert. Also 100% sicher gegen SQL-Injection.

Was ist jetzt genau anders ohne Anführungszeichen? Schränkt das die Funktionalität ein oder ist das eine Sicherheitslücke oder ist es mit Anführungszeichen einfach standardisiert?

Liebe Grüße.

ps: Hat sich erledigt, hatte das "rang" im ersten SELECT überlesen, Danke @ combie.


Geändert von ImmerOn (03-10-2012 um 15:39 Uhr)
Mit Zitat antworten
  #13 (permalink)  
Alt 03-10-2012, 16:43
Benutzerbild von mermshaus mermshaus
 Registrierter Benutzer
Links : Onlinestatus : mermshaus ist offline
Registriert seit: Jun 2009
Beiträge: 451
mermshaus wird schon bald berühmt werden
Standard

Ich empfehle dir lieber mal, in möglichst kurzen Intervallen Backups zu machen und ja keine sensiblen Daten zu speichern.

Geändert von mermshaus (03-10-2012 um 16:48 Uhr)
Mit Zitat antworten
  #14 (permalink)  
Alt 03-10-2012, 18:16
ImmerOn
 Registrierter Benutzer
Links : Onlinestatus : ImmerOn ist offline
Registriert seit: Aug 2012
Beiträge: 41
ImmerOn befindet sich auf einem aufstrebenden Ast
Standard

Hi,

hat diese Empfehlung einen bestimmten Grund, oder einfach nur so?
Auf meine Website habe momentan eh nur ich Zugriff, weil ich ja noch am Entwickeln bin. Sobald ich fertig bin, werden erstmal nur Bekannte und Freunde über einen Zeitraum von ca. 4 Wochen die Website testen, danach wird es eine open Beta geben.
Was meinst du mit sensiblen Daten?
Passwörter werden sowieso verschlüsselt gespeichert und sobald die open Beta stattfindet, wird die Website über ein SSL-Zertifikat laufen, also mit https://...
BackUps mache ich in der Entwicklungsphase sogar mehrmals täglich, da ja ziemlich viel verändert wird und falls mal was ist, will ich nicht nochmal von vorne anfangen

Siehst du irgendwelche Sicherheitslücken in meinem Programmierstil?
Wenn ja wäre es nett, wenn du mir die nennen könntest

Liebe Grüße.
Mit Zitat antworten
  #15 (permalink)  
Alt 05-10-2012, 13:35
Benutzerbild von mermshaus mermshaus
 Registrierter Benutzer
Links : Onlinestatus : mermshaus ist offline
Registriert seit: Jun 2009
Beiträge: 451
mermshaus wird schon bald berühmt werden
Standard

Zitat:
Siehst du irgendwelche Sicherheitslücken in meinem Programmierstil?
Wenn ja wäre es nett, wenn du mir die nennen könntest
Du willst mich trollen, oder? Ich bin raus hier.
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
mysqli DB Klasse prego PHP Developer Forum 7 05-04-2012 20:44
Frage zu Mysqli sanktusm SQL / Datenbanken 1 11-01-2012 16:04
Probleme mit mysqli Abfrage. Maanee9 PHP Developer Forum 7 20-09-2009 16:51
MySQLi Probleme.. DaRpH PHP Developer Forum 4 15-10-2006 18:59
[MySQL 4.1] MySQLi Stonebreaker62 SQL / Datenbanken 0 27-11-2005 21:22

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

PHP Server Monitor

PHP Server Monitor ist ein Skript, das prüft, ob Ihre Websites und Server betriebsbereit sind.

11.09.2018 Berni | Kategorie: PHP/ Security
PHP WEB STATISTIK ansehen PHP WEB STATISTIK

Die PHP Web Statistik bietet Ihnen ein einfach zu konfigurierendes Script zur Aufzeichnung und grafischen und textuellen Auswertung der Besuchern Ihrer Webseite. Folgende zeitlichen Module sind verfügbar: Jahr, Monat, Tag, Wochentag, Stunde Folgende son

28.08.2018 phpwebstat | Kategorie: PHP/ Counter
Affilinator - Affilinet XML Produktlisten Skript

Die Affilinator Affilinet XML Edition ist ein vollautomatisches Skript zum einlesen und darstellen der Affili.net (Partnerprogramm Netzwerk) Produktlisten und Produktdaten. Im Grunde gibt der Webmaster seine Affilinet PartnerID ein und hat dann unmittelb

27.08.2018 freefrank@ | Kategorie: PHP/ Partnerprogramme
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 21:11 Uhr.