Viktor's Supportboard
Quickmenü
» Start
» Portal
» Kontakt
» Mitglieder
» Team

» Handy-Ansicht


Usermenü

» Registrieren

Login
Benutzername:
Passwort:

(Passwort vergessen?)

Database
» Database

Lizenzshop/Verwaltung
» Lizenzshop/Verwaltung


Allgemeines
» Themen der letzen 24 Stunden
» Beiträge von Heute
» Aktuelle Umfragen
» Themen als gelesen markieren
» Themen ohne Antwort

» F.A.Q
» Regeln
» Impressum
» Datenschutzerklärung

» Linkliste
» Partner
» Statistik

Kostenplichtige Hacks
» VG-Lizenz
» VG-Fotowettbewerb
» VG-Kontaktanzeige
» VG-Literatur-Verwaltung
» VGTreffen/Dater
» VGMusik/Video

Mein Hacks
» VGUser-Leaflet-Map
» VGUser-Google-Map
» VGClub-Map-Google
» User-Map
» Club-Map
» User-Locator
» Club-Locator
» Mitglieder Bilderupload
» VGOnlineList
» Teamspeak Onlineanzeige

Meine Banner
» Meine Banner

Statistik
Beiträge: 138.426 (Täglich: 23,67 )
Themen: 16.136
Mitglieder: 13.151
Neuestes Mitglied: saklitinov.
Ausl. d. letzten Minute: 175%
Ausl. d. letzten 5 Minuten: 171%
Ausl. d. letzten 15 Minuten: 169%
Freier Webspace: 1.94 TB
PHP-Version: 7.1.11

Spenden

Partner
Mein Supportboard

MySQLDumper

Forum für Angehörige und Freunde von Krebspatienten

Wetter-Board

Make your Webserver

ABC-des Essens

IC-Netforum

ultimate-funultimate-fun

Steinadler-Bastelstübchen

Webseitenschutz

Werben

Viktor's Supportboard » Programmieren » MySQL und PHP » [Hilfe gesucht] Update » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen Update
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
headloose headloose ist männlich
Routinier


images/avatars/avatar-15732.gif


Dabei seit: 19.12.2005
Beiträge: 343
0 Filebase-Einträge
Alter: 61 Jahre
Herkunft: Baden Württemberg

Bewertung: 
3 Bewertung(en) - Durchschnitt: 4,67

Level: 39 [?]
Erfahrungspunkte: 1.711.706
Nächster Level: 1.757.916

46.210 Erfahrungspunkt(e) für den nächsten Levelanstieg



Update Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Ende der Seite springen Zum Anfang der Seite springen

Hallo,

derzeit habe wirklich nur Pech. Es funzt einfach nicht.

Versuche schon die ganze Zeit meine Daten als update abzuspeichern und es geht nicht.

var_dump gibt mir aber die Daten korrekt aus dem Formular rüber!

Hier mal mein Code:

code:
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
 include("../../config/connect_fraktion.php");
 error_reporting(E_ALL);
$id = $_SESSION["artikel_id"];
  if (isset($_POST['submit'])) {
  	$ueberschrift=$_POST['ueberschrift'];
	$datum=$_POST['datum'];
	$zeilen=$_POST['thema'];
	$bild=$_POST['bild'];
	$zeilen = htmlentities($zeilen); 
    	$zeilen = nl2br($zeilen); 
$aendern = "UPDATE fraktion SET ueberschrift='$ueberschrift', datum='$datum', thema='$zeilen', bild='$bild' WHERE id='$id'";
$update = mysql_query($aendern)OR die(mysql_error());
 echo "Daten wurden geändert!  <a href=\"artikel_listen.php\">  >>... zum Menü << </a>";   
  }
   else


07.01.2008 20:26 headloose ist offline E-Mail an headloose senden Beiträge von headloose suchen Nehmen Sie headloose in Ihre Freundesliste auf Germany
DonManfred   Zeige DonManfred auf Karte DonManfred ist männlich
VGLizenz


images/avatars/avatar-265.jpg

Zeige DonManfred auf Karte
Dabei seit: 31.03.2006
Beiträge: 1.821
6 Filebase-Einträge
Alter: 50 Jahre
Herkunft: Düren
wBB-Version: wBB2.3
PHP-Version: 5.2.8
MySQL-Version: 5.0.51b
Wo bist du gehostet?: http://df.eu

Bewertung: 
39 Bewertung(en) - Durchschnitt: 5,13

Level: 49 [?]
Erfahrungspunkte: 8.902.932
Nächster Level: 10.000.000

1.097.068 Erfahrungspunkt(e) für den nächsten Levelanstieg



Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Ende der Seite springen Zum Anfang der Seite springen

wie sieht denn ein auf diese Weise erzeugte String $aendern aus? Lass Dir den mal mit echo ausgeben. mysql-Fehlermeldung die kommt wäre vielleicht auch nicht schlecht.

ansonsten kann man da wohl nur sagen; absoluter Fall für SQL-Inection! Von Sicherheit hast du noch nie was gehört?

Grundregeln: (irgendwo in einem Buch über Grundregeln sicher ganz weit oben in 20px Schrift und fett geschrieben großes Grinsen )

NIEMALS Irgendwelche Daten einfach so für query´s verwenden!
Prüfe ALLE übergebenen Daten.
Benutze dafür geeignete Befehle.
Überprüfe ob Du wirklich alle Werte überprüft hast (Codeprüfung).

aus

php:
1:
$datum=$_POST['datum'];


wird also

php:
1:
if (isset($_POST['datum'])) $datum mysql_real_escape_string($_POST['datum']); else $datum "";


Das machst Du mit ALLEN Werten, die ein String sind. Bei ganzzahlen kannst Du auch

php:
1:
if (isset($_POST['zahl'])) $zahl intval($_POST['zahl']); else $zahl 0;


verwenden. Das ist schneller als mysql_real_escape_string, ist aber eben nur für Zahlen geeignet. Aber du als coder wirst ja wissen, was da für ein Wert übergeben wird und Du kannst dann einen der zwei Varianten wählen. Diese wendest du auf ALLE übergebenen Daten an, wenn Du sql-injections verhindern möchtest.

Dein Code könnte dann also SO aussehen

php:
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
include("../../config/connect_fraktion.php");
error_reporting(E_ALL);
#$id = $_SESSION["artikel_id"];
if (isset($_SESSION['artikel_id'])) $id intval($_SESSION['artikel_id']); else $id 0;

if (isset($_POST['submit'])) {
     #$ueberschrift=$_POST['ueberschrift'];
    if (isset($_POST['ueberschrift'])) $ueberschrift mysql_real_escape_string($_POST['ueberschrift']); else $ueberschrift "";
    #$datum=$_POST['datum'];
    if (isset($_POST['datum'])) $datum mysql_real_escape_string($_POST['datum']); else $datum "";
    #$zeilen=$_POST['thema'];
    if (isset($_POST['thema'])) $zeilen mysql_real_escape_string(nl2br($_POST['thema'])); else $zeilen "";
    #$bild=$_POST['bild'];
    if (isset($_POST['bild'])) $bild mysql_real_escape_string($_POST['bild']); else $bild "";

    #$zeilen = htmlentities($zeilen); 
     #$zeilen = nl2br($zeilen); 
    $aendern "UPDATE fraktion SET ueberschrift='".$ueberschrift."', datum='".$datum."', thema='".$zeilen."', bild='".$bild."' WHERE id=".$id;
    $update mysql_query($aendern) OR die("SQL: ".$aendern."<br />".mysql_error());
    echo "Daten wurden geändert!  <a href=\"artikel_listen.php\">  >>... zum Menü << </a>";   
}
  else


Überflüssige Zeilen habe ich auskommentiert. Den Query mal für php optimiert. Deweiteren sollten mal nur Werte mit ' einschliessen, die als varchar oder text definiert sind. Jegliche Integerwerte sollte man auch entsprechend ohne Hochkomma in den SQL einbauen.

__________________
Gruss Mannes

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!

07.01.2008 22:20 DonManfred ist offline E-Mail an DonManfred senden Beiträge von DonManfred suchen Nehmen Sie DonManfred in Ihre Freundesliste auf Fügen Sie DonManfred in Ihre Kontaktliste ein Germany
headloose headloose ist männlich
Routinier


images/avatars/avatar-15732.gif


Dabei seit: 19.12.2005
Beiträge: 343
0 Filebase-Einträge
Alter: 61 Jahre
Herkunft: Baden Württemberg

Bewertung: 
3 Bewertung(en) - Durchschnitt: 4,67

Level: 39 [?]
Erfahrungspunkte: 1.711.706
Nächster Level: 1.757.916

46.210 Erfahrungspunkt(e) für den nächsten Levelanstieg

Themenstarter Thema begonnen von headloose


update Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Ende der Seite springen Zum Anfang der Seite springen

Moin, Moin,

vielen Dank für die Anregungen. Du hast recht bzgl. der Sicherheit.

Bin aber froh das ich gerade soweit bin.

Werde das für die Zukunft natürlich berücksichtigen!

Gruß
08.01.2008 06:44 headloose ist offline E-Mail an headloose senden Beiträge von headloose suchen Nehmen Sie headloose in Ihre Freundesliste auf Germany
Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
Viktor's Supportboard » Programmieren » MySQL und PHP » [Hilfe gesucht] Update

Impressum | Datenschutz | Fast-Index

Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab® GmbH Design © Tine

Valid XHTML 1.0! Valid CSS! Die letzten Themen Die letzten Beiträge © für wbb2 by Bandy & cback.de Geblockte Angriffe: 281
Seo Sidemap Powert by 2Clubradio.de
Viktor's Supportboard, ist " Online " seit 16 Jahren, 3 Tage, 5 Stunden, 56 Minuten und 18 Sekunden