Forum

Öffentliche Foren

FORUM: Spiele & Computer THEMA: [PHP] Problem bei Werteübermittlung anDB

AUTOR BEITRAG

Starfox

RANG Deckschrubber

#1 - 13.04 15:03

Hallo allerseits,

ich habe mir vor kurzem ein Script erstelle lassen, bei dem wird ein bild hochgeladen, eine beschreibung und eine bewertung dazu abgegeben. nun habe ich das script erweitert auf bild, name, preis, usw...
also ich habe tabellen manuell im phpmyadmin hinzugefügt und das script verändert.

wenn ich jetzt über die administrationsseite im script (nicht im PHPMYADMIN) neue daten eintragen möchte, werden keine in die datenbank geschrieben, wenn ich statt buchstaben allerdings ziffern bei den felder, wie name oder herrkunft eintragen, dann funktioniert die eintragung der werte einwandfrei, was könnte das sein?

Mfg Tim

horst

RANG Prophet of Clanintern

#2 - 13.04 15:07

Hast du dein Query auch aktualisiert?

Ich finde die Form

INSERT INTO tabelle (alle attribute, die wichtig sind per Komma getrent) VALUES (alle werte, entsprechend ihrer ausprägung per Komma getrent) ganz sinnvoll.

Bsp für den einfachen Fall:

INSERT INTO tabelle (`bildname`, `beschreibung`, `bewertung`) VALUES ('abd.jpg'. 'test 123', 5)

vaestŽark // patrick *ich bin hier nicht der depp*

RANG Master of Clanintern

#3 - 13.04 15:09

Welchen Datentyp hast du für deine neuen Spalten in der Tabelle angegeben? Für Text müsste der auf varchar, text, blob o.ä. stehen. Wenn der auf (tiny, small, ...) int o.ä. steht, ists klar

Alternativ könnte das Problem beim Zusammenbau des Querystrings liegen, das da irgendwelche Typecasts gemacht werden.

Starfox

RANG Deckschrubber

#4 - 13.04 15:23

ich hatte bei

code:
"INSERT INTO bilder (name, rumname, preis, herkunft, bewertung, beschreibung, beschreibung_flasche) VALUES ( '" . $_FILES["bild"]["name"] . "', '" . $_POST["rumname"] . "', '" . $_POST["preis"] . "', '" . $_POST["herkunft"] . "', " . $_POST["bewertung"] . ", '" . $_POST["beschreibung"] . "', '" . $_POST["beschreibung_flasche"] . "' )"

hat sich erledigt, ich hatte die ' bei rumname, preis und herrkunft vergessen...

danke der ultraschnellen hilfe!!

cool, dass sich horst sogar gemeldet hat, dein kartenscript habe ich immer noch :)

horst

RANG Prophet of Clanintern

#5 - 13.04 17:33

freut mich

Crush (Hat seinen Status in Klammern)

RANG Deckschrubber

#6 - 13.04 19:31

Ohohohohoh, auaauaah!

Was du da gepostet hast, Starfox, ist eine klaffende Sicherheitslücke, die jedem Hobby Hacker mit etwas Ahnung von SQL erlaubt mit deiner Datenbank zu machen was er will. Stichwort SQL Injection!

Niemals (Niemals! (Niemals!!!)) einen vom Client stammenden String, wie einer der durch $_POST, $_GET oder $_COOKIE geliefert wird, in einem SQL Statement verwenden, ohne ihn vorher zu escapen. Bei mySQL gibt es da die Funktion mysql_real_escalpe_string die einen String von allem reinigt was gefährlich werden können. Für andere Datenbanken gibt es AFAIR ähnliche Funktionen.

Starfox

RANG Deckschrubber

#7 - 14.04 05:59

hmm
das geht?

ihr kennt ja weder meinen server, noch meinen benutzernamen, geschweige denn den datenbanknamen...

*al!ve* - Vorbereitung aufs Urlaubssemester

RANG Master of Clanintern

#8 - 14.04 08:20

Schon mal auf Crushs Link geclickt? Das erste Beispiel (der blaue Kasten mit den grün und rosa markierten Textstellen) veranschaulicht recht gut, was da passieren kann.

xi-on|absolut

RANG God

#9 - 14.04 12:34

das 2te Beispiel is ja ma extrem

ZURÜCK