PHP Parameter

BreadScript · 2. Januar 2018

Hallo und danke nochmal für deinen Rat. Derzeitiges Problem ist allerdings noch immer das ich den Table nicht richtig beschreiben kann bzw der Select diesen nicht richtig auslesen kann. Ich habe es mal wie folgt abgeändert

PHP

<?php
$pdo = new PDO('mysql:host=localhost;dbname=ibis', 'ibis', 'X8roh7^7');


$p0 = intval($_GET["p0"]);
$p1 = intval($_GET["p1"]);
$p2 = intval($_GET["p2"]);
$p3 = intval($_GET["p3"]);
$p4 = intval($_GET["p4"]);
$p5 = intval($_GET["p5"]);
$table = intval($_GET["table"]);
$statement = $pdo->prepare("SELECT * FROM '". $table . "' WHERE `id` IN ($p0,$p1,$p2,$p3,$p4,$p5)");
$statement->execute(array($p0,$p1,$p2,$p3,$p4,$p5));   
while($row = $statement->fetch()) {
   echo  $row[1]. "," ; 
}
?>

Alles anzeigen

Kaliber · 2. Januar 2018

Da machst du ja auch Quatsch, dass ist so gar nicht das, was ich geschrieben hatte

PHP

<?php
$pdo = new PDO('mysql:host=localhost;dbname=ibis', 'ibis', 'X8roh7^7');


$p0 = intval($_GET["p0"]);
$p1 = intval($_GET["p1"]);
$p2 = intval($_GET["p2"]);
$p3 = intval($_GET["p3"]);
$p4 = intval($_GET["p4"]);
$p5 = intval($_GET["p5"]);
$statement = $pdo->prepare("SELECT * FROM `?` WHERE `id` IN (?,?,?,?,?,?)");
$statement->execute(array($_GET["table"],$p0,$p1,$p2,$p3,$p4,$p5));   
while($row = $statement->fetch()) {
   echo  $row["spaltenname"]. "," ; 
}
?>

Alles anzeigen

//Edit: Du musst den Spaltennamen angeben in row und keine Zahl, beim normalen fetch in pdo.

BreadScript · 2. Januar 2018

Bleibt leider ohne Erfolg mit mir ist es echt ne schwere Geburt

Code

https://breadscript.de/ibis/test3.php?table=users&p0=2&p1=3&p2=4&p3=5&p4=6&p5=7

Kaliber · 2. Januar 2018

Wie sieht denn der Code aus?

Hast den Spaltennamen richtig angegeben?

BreadScript · 2. Januar 2018

Ja habe ich andernfalls C&P

PHP

<?php
$pdo = new PDO('mysql:host=localhost;dbname=ibis', 'ibis', 'pw');
$p0 = intval($_GET["p0"]);
$p1 = intval($_GET["p1"]);
$p2 = intval($_GET["p2"]);
$p3 = intval($_GET["p3"]);
$p4 = intval($_GET["p4"]);
$p5 = intval($_GET["p5"]);


$statement = $pdo->prepare("SELECT * FROM `?` WHERE `id` IN (?,?,?,?,?,?)");
$statement->execute(array($_GET["table"],$p0,$p1,$p2,$p3,$p4,$p5));   
while($row = $statement->fetch()) {
   echo  $row["username"]. "," ; 
}
?>

Alles anzeigen

Kaliber · 2. Januar 2018

Zitat von BreadScript

$pdo = new PDO('mysql:host=localhost;dbname=ibis', 'ibis', 'pw');

Schreib das mal so:

PHP

try
{
    $pdo = new PDO('mysql:host=localhost;dbname=ibis', 'ibis', 'pw', array(PDO::MYSQL_ATTR_INIT_COMMAND => 'SET NAMES utf8'));
}
catch(PDOException $e)
{
    echo $e->getMessage();
    exit;
}

BreadScript · 2. Januar 2018

Seite bleibt leider weiterhin weiß

PHP

<?php
try
{
	$pdo = new PDO('mysql:host=localhost;dbname=ibis', 'ibis', 'cD33', array(PDO::MYSQL_ATTR_INIT_COMMAND => 'SET NAMES utf8'));
}
catch(PDOException $e)
{
	echo $e->getMessage();
	exit;
} 


$p0 = intval($_GET["p0"]);
$p1 = intval($_GET["p1"]);
$p2 = intval($_GET["p2"]);
$p3 = intval($_GET["p3"]);
$p4 = intval($_GET["p4"]);
$p5 = intval($_GET["p5"]);


$statement = $pdo->prepare("SELECT * FROM `?` WHERE `id` IN (?,?,?,?,?,?)");
$statement->execute(array($_GET["table"],$p0,$p1,$p2,$p3,$p4,$p5));   
while($row = $statement->fetch()) {
   echo  $row["username"]. "," ; 
}
?>

Alles anzeigen

Kaliber · 2. Januar 2018

Kannst du n screen von deiner MySQL Tabelle machen?

BreadScript · 2. Januar 2018

Klaro

Kaliber · 2. Januar 2018

Ahh, okay

Also man kann Tabellennamen nicht escapen mit pdo auf diese Art und Weise.

Mach am Besten eine Whitelist für die Tabellennamen:

PHP

<?php
try
{
	$pdo = new PDO('mysql:host=localhost;dbname=ibis', 'ibis', 'cD33', array(PDO::MYSQL_ATTR_INIT_COMMAND => 'SET NAMES utf8'));
}
catch(PDOException $e)
{
	echo $e->getMessage();
	exit;
} 
function isTableOk($table)
{
	switch($table)
	{
		case "users": case "auchok": return true;
	}
	return false;
}
if(!isTableOk($_GET["table"])) die("Ungültiger Tabellenname!");
$p0 = intval($_GET["p0"]);
$p1 = intval($_GET["p1"]);
$p2 = intval($_GET["p2"]);
$p3 = intval($_GET["p3"]);
$p4 = intval($_GET["p4"]);
$p5 = intval($_GET["p5"]);


$statement = $pdo->prepare("SELECT * FROM `".$_GET["table"]."` WHERE `id` IN (?,?,?,?,?,?)");
$statement->execute(array($p0,$p1,$p2,$p3,$p4,$p5));   
while($row = $statement->fetch()) {
   echo  $row["username"]. "," ; 
}
?>

Alles anzeigen

BreadScript · 2. Januar 2018

/close

**palwal** · 2. Januar 2018

Für eine Datenbank sollte er PDO oder MySQLi verwenden. Das standartbasierte mysql von PHP wurde in PHP 5.4> als veraltet deklariert und seit PHP 7 aus der PHP Libery entfernt.

Ich gebe @Developer recht, für die Datenbank so wenig wie möglich per GET Parameter auslesen.
Sobald du GET Parameter verwendest, überprüfe bitte vorher mit isset() ob der GET Parameter existiert; existiert wenn der Besucher den Get-Paramter aufruft (index.php?get=view) weil sonst erscheint immer ein PHP Fehler bei (index.php).

Liebe Grüße,
palwal

J0a9 · 2. Januar 2018

Zitat von palwal

Für eine Datenbank sollte er PDO oder MySQLi verwenden. Das standartbasierte mysql von PHP wurde in PHP 5.4> als veraltet deklariert und seit PHP 7 aus der PHP Libery entfernt.

Ich gebe @Developer recht, für die Datenbank so wenig wie möglich per GET Parameter auslesen.
Sobald du GET Parameter verwendest, überprüfe bitte vorher mit isset() ob der GET Parameter existiert; existiert wenn der Besucher den Get-Paramter aufruft (index.php?get=view) weil sonst erscheint immer ein PHP Fehler bei (index.php).

Liebe Grüße,
palwal

Alles anzeigen

noch ne kleine Ergänzung dazu:

und den GET-Parameter filtern, je nach dem was gewünscht ist, sonst kann man auch isset einfach umgehen.
Je genauer die Abfragen, desto weniger ist die Wahrscheinlichkeit auf einen SQL-Injection.
Wenn du nur Integer als Parameter haben willst, dementsprechend auf Integer filtern ^^.

PHP Parameter

breadfish.de 12. März 2022

Ähnliche Themen

php und html + bootstrap

Bild ins Overlay

Problem mit Linux Server

Login mit Autohotkey und PHP