[FRAGE] Nächste PHP -> MYSQL frage !

[mikdoe]

Das Screenshot war die erwartete Antwort! Jetzt kann ich mir den Code dazu anschauen.

 

[mikdoe]

Moment, sind das aczent de gu oder Hochkommata im Select? Die Striche sehen schief aus.

 

[Transformator]

das sind ` nicht '
aber ` geht auch !

 

[Transformator]

Ach und im db select ist garantiert kein fehler !
vieleicht wegen xampp !

des wegen habe ich auch immer `xxx`.`xxx` als table select geschrieben

 

[mikdoe]

Und wenn du einfach mal durchgängig überall das Hochkomma verwendest statt irgendwelche Experimente mit französischen Überstrichen zu machen?
Funktioniert es dann?

 

[tsseh]

Ach und im db select ist garantiert kein fehler !

hast du nicht gerade geschrieben das da ein fehler ist?

vieleicht wegen xampp !

hä?

des wegen habe ich auch immer `xxx`.`xxx` als table select geschrieben

und was macht der .?

 

[Transformator]

`Datenbank`.`Tabelle`

&

ich probiers nochmal mit ' OK ?

 

[mikdoe]

Ja, mach mal. Aber überall, auch im PHP Code.

 

[Transformator]

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''pflanzliste' SET standort = '867' WHERE id = '4'' at line 1

aber lustig ist das :

near ''pflanzliste' SET standort

dort steht aber ich im code :

MYSQL_QUERY("UPDATE 'pflanzliste' SET standort = '" . $_POST["standort"] . "' WHERE id = '$id'") or die(mysql_error());

geschrieben hab

Code Update : [SQL] SQL-UPDATE001 - Pastebin.com

 

[tsseh]

Kannst du nicht einmal auch normal antworten?

`Datenbank`.`Tabelle`

Ich hab keine Ahnung, was PHP mit ` macht. Aber ein aus 'Datenbank'.'Tabelle' macht es 'DatenbankTabelle'
EDIT: ahh ok, das sind die sql quotes

 

[mikdoe]

aus 'Datenbank'.'Tabelle' macht es 'DatenbankTabelle'

Ja, das war mir beim Code aus Beitrag #1 auch schon aufgefallen. Aber da das nur ein Ausschnitt ist dachte ich, das hätte einen Sinn der sich aus dem restlichen Code erschließt.

 

[kkapsner]

ja die post variable ist voll mit den richtigen daten !

Das war nicht meine Frage. Was steht da genau drin?

mysql_query($deinStatement) || die(mysql_error());

<- das ist also keine gefahr ?
wenn der hacker den ganzen sql code sieht ?

Deswegen hatte ich geschrieben, dass das nicht für en Produktiveinsatz ist.

Das mit dem Escapen bringt mich nur durcheinader außerdem
ist die website dann in eime Privaten bereich der Website

1. Ist das wirklich nicht schwierig, wie Julian schon geschrieben hat. 2. Ist das nicht nur eine Sicherheitssache, sondern musst du sowieso machen, da du sonst manche Nutzereingaben einfach nicht verarbeiten kannst. Z.B. "ich hab's" würde sonst einen SQL-Fehler werfen.

Außerdem wird mir mitlerweile ein Fehler angezeigt !

No database selected

Dann solltest du versuchen diesen zu entfernen..

dabei steht eine Zeile darüber :

MYSQL_SELECT_DB("pflanzliste");

Bist du sicher, dass die Datenbank auch so heißt, ein Datenbank ist was anderes als eine Tabelle...

bei :

MYSQL_SELECT_DB("`pflanzliste`");

steht :

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use

Das ist einfach falsch, da mysql_select_db() nur den Datenbanknamen erwartet, darfst du da keine Backticks verwenden.

Und ich habe ne vermutung !

Ich hatte schon bei Java Probleme mit ASCII Tables und ich glaube der
Deutsche ASCII satz sieht ` nicht so vor wie es sein sollte !

das ist falsch. Der Backtick ist \x60 und somit in ANSI auf der gleichen Stelle wie in UTF-8 und Latin-1.

Und die Website ist eh privat !

Auch bei privaten Seiten können unerwartete Eingaben gemacht werden.

Moment, sind das aczent de gu oder Hochkommata im Select? Die Striche sehen schief aus.

Das muss der Backtick sein (Ein Akzent ist immer über einem Zeichen - steht nicht alleine - [klugscheißer]außerdem heißt der accent aigu [/klugscheißer]). Das ist das Escapezeichen für Identifier in SQL. Das Hochkomma ist das für Strings. Die müssen unterschiedlich sein, damit man die Unterscheiden kann, da man ja manchmal auf das Feld `text` zugreifen will und manchmal den String 'text' weiterverarbeiten will.

 

[tsseh]

1. Ist das wirklich nicht schwierig, wie Julian schon geschrieben hat. 2. Ist das nicht nur eine Sicherheitssache, sondern musst du sowieso machen, da du sonst manche Nutzereingaben einfach nicht verarbeiten kannst. Z.B. "ich hab's" würde sonst einen SQL-Fehler werfen.

xkcd: Exploits of a Mom

 

[Transformator]

OMG Fehler gefunden !
RECHTSCHEIB FEHL3R !

die tabelle heißt pfanzliste nicht pflanzliste !!!

Dabei habe ich so einen Fehler vermutet und das ganze 10x durchgeprüft !

scheinbar nicht genau genug !

GEHT aber immer noch nicht

 

[Transformator]

LOL Mysql_info() :

Rows matched: 1 Changed: 0 Warnings: 0

CODE : http://pastebin.com/tzNasUHr

 

[Transformator]

EEESSS GEEHHHTTT !!!!

DANKKKKEEE !!!!

^^ sorry for capes

 

[Transformator]

ACH ÜBRIGENS ADMINS :

Als ich das oben das erste mal abgeschickt habe kahm das :

Parse error: syntax error, unexpected '}' in /data/wwwcust/mm1-212/html/vbseo/includes/functions_vbseo_startup.php on line 317

Lustig was ?

 

[j-l-n]

OMG Fehler gefunden !
RECHTSCHEIB FEHL3R !

OMG das ist ja toll! Aber deswegen SOLLTE man bei so etwas sehr genau SEIN!!!


Spaß beiseite, ich hab's bereits in einem vorherigen Post höfliche angemerkt, aber anscheinend beachtest du das (und leider nicht nur das) nicht: was ist daran so schwer, anstatt

GEHT aber immer noch nicht

ganz normal "Geht aber immer noch nicht" zu schreiben? Und kannst du einen Satz auch einmal anstatt mit !! einfach mit einem Punkt beenden?
Und man kann dir auch nicht besonders gut helfen, wenn man in deinen Posts keinerlei Informationen herauslesen kann...
Sowas wie

LOL
Lustig was ?
^^ sorry for capes

kannst du dir einfach sparen :thumbdown:

PS: es gibt auch so etwas wie eine Editierfunktion, dann braucht man nämlich keine 3 Beiträge erstellen, die null Informationsgehalt haben...
Und sag jetzt nicht, dass du das nicht wusstest:

Geändert von Transformator (Heute um 16:20 Uhr) Grund: Code Vergessen

 

[Transformator]

^^
ich finde JEDER kann seinen Text so Formatieren wie er will !

Ich schreibe halt gerne hinter jeden satz ein ausrufe zeichen den ich wichtig finde und nicht
wo eins hingehört !

Wichtige wörter scheibe ich GROß das ist halt so ! Na und ?

 

[j-l-n]

Wichtige wörter scheibe ich GROß das ist halt so ! Na und ?

Bloß dass 99% aller "wichtigen" Wörter überhaupt nicht wichtig sind... Wozu betonst du Sachen, bei denen die Betonung gar keinen Sinn macht?