MySql Fehler bei PHP-Ausgabe!

Beitrag von **lionstarr** » 23.12.2005, 09:28

Hallo,
ich programmiere Offline an einem Projekt.
Dafür benötige ich MySql und mit dem Insert Befehl klappte alles.
Aber dann wollte ich mit SELECT Daten abfragen (Über PHP).
Und hier kam:

Hm, denke ich. Rufe ich mal mysql_error() auf. Problem: Die gibt folgendes aus: "" (zwischen " und " - also nichts).

Hier ist der Quelltext:

Code: Alles auswählen

<?php

if&#40;isset&#40;$_GET&#91;'category'&#93;&#41;&#41;&#123;
	$category=$_GET&#91;'category'&#93;;
	
	
	mysql_connect&#40;"localhost","phpkid","mitp"&#41; or die&#40;"Konnte nicht mit MySql Verbinden!"&#41;;
	
	mysql_select_db&#40;"lionstarr"&#41; or die&#40;"Datebank konnte nicht gefunden werden!"&#41;;
	
	$sqlselect="SELECT * FROM witze WHERE Category = '".$_GET&#91;'category'&#93;."' ORDER BY id LIMIT 0, 30";
	$sglresult=mysql_query&#40;$sqlselect&#41;;
	if&#40;!$sqlresult&#41;&#123;
		echo "Error in sqlresult&#58;".mysql_error&#40;&#41;;// Hier gibt er nur "Error in sqlresult aus!
	&#125;
	echo "<table border='0'>";
	echo "<tr><td>&Uuml;berschrift</td><td>Eingesendet von</td><td>Eingesendet am</td></tr>";
	
	
	while &#40;$thisrow=mysql_fetch_assoc&#40;$sqlresult&#41;&#41; &#123;
		//$Eintrag=nl2br&#40;$row&#91;"Eintrag"&#93;&#41;;
		echo "<tr><td>".$thisrow&#91;"Headline"&#93;."</td><td>".$thisrow&#91;"NAME"&#93;."</td><td>".$thisrow&#91;"Date"&#93;."</td></tr>";

	&#125;

echo "</table>";
&#125;
else&#123;
echo "<h2>Die Witze</h2><br />\n";
echo "<h3><a href=\"layout.php?s=display.php&category=Computer\">Computer</a></h3>";
&#125;


?>

Natürlich muss ich das Ganze noch viel bearbeiten, das ist nur ein Anfang. Aber wo kommt der Fehler her?
Vielen Dank im Voraus,
mfg,
lionstarr
P.S. Ich habe mir die Query schon ausgeben lassen und in phpmyadmin getestet - funktionierte prima!

von **Anzeige von ABAKUS** »

Hochwertiger Linkaufbau bei ABAKUS:

Google-konformer Linkaufbau
nachhaltiges Ranking
Linkbuilding Angebote zu fairen Preisen
internationale Backlinks

Wir bieten Beratung und Umsetzung.
Jetzt anfragen: 0511 / 300325-0

Beitrag von **lionstarr** » 23.12.2005, 09:30

Uuups...
tschuldigung!
Das war der dümmste Fehler den ich jeh gemacht habe: sglresult != sqlresult!
Ich entschulkdige mich noch mal vielmals,
lionstarr

Beitrag von **ts77** » 23.12.2005, 10:13

> $sqlselect="SELECT * FROM witze WHERE Category = '".$_GET['category']."' ORDER BY id LIMIT 0, 30";

Wunderschöne SQL-Injection-Vorlage

von **Anzeige von ABAKUS** »

Beitrag von **mcchaos** » 23.12.2005, 10:13

Ja, typisierte Sprachen wie C++ oder Java haben auch Ihre Vorteile

Aber ich glaube, das ist hier auch jedem schon mal mit php passiert...

Aber schau Dir mal Dein Code an, da kann man SQL injizieren...

Beitrag von **lionstarr** » 23.12.2005, 10:58

Ich weis, das hatte ich auch vor zu ändern (mit stripslashes()) aber da wollte ich zwischendurch nen Test machen und schwups ist der Fehler da! Na ja,
auf jeden fall vielen dank!

Beitrag von **ts77** » 23.12.2005, 10:59

nimm lieber
mysql_real_escape_string
für den String dort, wenn es denn ein String ist.
Ansonsten auf (int) wandeln, wenn es denn eine Zahl sein soll

.

Beitrag von **SloMo** » 23.12.2005, 11:25

ts77 hat geschrieben:nimm lieber
mysql_real_escape_string
für den String dort, wenn es denn ein String ist.

mysql_real_escape_string() ist nicht sicherer als addslashes(). Es sorgt nur für eine bessere Lesbarkeit in Logdateien. Wer sich für die Logs nicht interessiert, kann sich also die unnötige Tipparbeit sparen.

If anyone is using addslashes to escape strings before putting them in the database and thinks they should "upgrade" to mysql_real_escape_string because it is safer (as the instructions above seem to imply): if you read mysql's manual for the function that is being called by php, it says
--QUOTE
Strictly speaking, MySQL requires only that backslash and the quote character used to quote the string in the query be escaped. This function quotes the other characters to make them easier to read in log files.
ENDQOUTE--
So if you're using addslashes, which escapes single and double quote and backslashes, you're OK.

Zitat: https://php3.de/manual/de/function.mysq ... string.php

Gruß, SloMo

Beitrag von **lionstarr** » 23.12.2005, 11:31

Ach genau addslashes meinte ich natürlich.
Eine Frage am Rande: Crawlt Google auch Links wie "layout.php?s=send.php&id=1" oder muss ich das ganze noch Anders Machen? V

Beitrag von **SloMo** » 23.12.2005, 11:44

Jepp, parametrisierte Links werden problemlos gecrawlt. Nur den Bezeichner ID würde ich an Deiner Stelle nicht benutzen. Funktioniert zwar auch, aber Google selbst hat davon abgeraten. Außerdem solltest Du es auf einen einzigen Parameter beschränken.

Pass auf, dass auf keinen Fall fremde Scripts eingebunden werden können. Sonst kann Dir jeder Anfänger einen Dateimanager unterschieben und damit frei auf Deinem Server umherwüten.

Beitrag von **lionstarr** » 23.12.2005, 21:22

Jep, realisiere es jetzt mit mod_rewrite - bräuchte da aber noch hilfe :
siehe: " https://www.abakus-internet-marketing.d ... 21919.html "

Beitrag von RW » 26.12.2005, 00:08

HI,

strip_tags($_GET[...]) + Muster Prüfung
Validierung der GET + POST Para
alla preg_match == true

RW