Hallo, ich versuche gerade Werte von einem Account ausgeben zu lassen jedoch ohne Erfolg mein derzeitiger Code sieht so aus:
$guthaben = mysql_query("SELECT guthaben FROM accounts WHERE username = " .$_SESSION['username']. "");
echo "<a href=\"\">User: " . $_SESSION["username"] . "</a><br />";
echo "Guthaben: " . $guthaben . " EUR<br /><br />";
Irgendwie verstehe ich MySQL doch nicht so gut wie ich es mir ausgedacht habe 
Hi Ace,
Du versuchst direkt das MySQL-Query Handle als Guthaben zu verwenden.
Du musst es aber erst einmal als "Result" holen (zb. mit mysql_fetch_object)
Würde dann ungefähr so aussehen:
$SQL = sprintf("SELECT `guthaben` FROM `accounts` WHERE `username` = '%s'", mysql_real_escape_string($_SESSION["username"]));
$Query = mysql_query($SQL);
$Guthaben = mysql_fetch_object($Query)->guthaben;
echo "<a href=\"\">User: " . $_SESSION["username"] . "</a><br />";
echo "Guthaben: " . $Guthaben . " EUR<br /><br />";Bei sprintf kannst Werte (Variablen) in der Nachricht formatiert ausgeben lassen.
Zb. Strings, Int, etc
$name = "Steven";
sprintf("Hallo ich bin %s", $name);sprintf() kannst du dir so vorstellen wie bei Pawno format()
Genau gesehen Ist es das selbe.
Schreibe das mal so:
$guthaben = mysql_query("SELECT guthaben FROM accounts WHERE username='".$_SESSION['username']."'");
echo "<a href=\"\">User: " . $_SESSION["username"] . "</a><br />";
$row = mysql_fetch_assoc($guthaben);
echo "Guthaben: " .$row["guthaben"]. " EUR<br /><br />";mfg. 
Ähm, Ich denke es ist hier alles geklärt gewesen,
Spricht irgendetwas gegen sprintf?
oder gegen mysql_fetch_object?
Zumal deine Variante so injectbar ist, da der Username nicht escaped wird.
Und konform ist die SQL auch nicht. Ich meine damit die ` und ' Zeichen, Falls du damit was anfangen kannst.
mfg
Ähm, Ich denke es ist hier alles geklärt gewesen,
Ehm...der Threadersteller hat keine Rückmeldung davon erbracht aus diesem Grund ging ich vom Gegenteil aus 
Spricht irgendetwas gegen sprintf?
oder gegen mysql_fetch_object?
Nope 
Zumal deine Variante so injectbar ist, da der Username nicht escaped wird.
Woher willst du wissen, dass er den Usernamen vor der Session nicht escaped hat ? 
Und konform ist die SQL auch nicht
Relativ, also die ' ' habe ich angegeben bei der Variable wenn du genauer hinsiehst, die `` halte ich eigentlich für relativ überflüssig, da man es auch so machen kann und es da eigentlich so keine Unterschiede gibt
mfg.
Die Session escapen? 
Relativ, also die ' ' habe ich angegeben bei der Variable wenn du
genauer hinsiehst, die `` halte ich eigentlich für relativ überflüssig,
da man es auch so machen kann und es da eigentlich so keine Unterschiede
gibt
Die `` sind nur notwendig, wenn du Tabellenübergreifende Querys mit beispielweise JOINs benutzt. Sie dienen lediglich zur Kategorisierung für mySQL. Wenn nur eine Tabelle angesprochen ist, interessieren die `` selbst mySQL nichtmal peripher, von daher hast du da vollkommen recht, sie sind unnötig für Schreibfaule.
AceSoftwares: Ich denke er meint den Wert innerhalb der Session :p
Die `` sind nur notwendig, wenn du Tabellenübergreifende Querys mit beispielweise JOINs benutzt
Sie werden auch bei JOINS genutzt, richtig. Aber auch wenn MySQL-Spaltennamen systemreservierte Namen wie zb. "MAX" haben.
Da kann es ohne ` Fehler verursachen etc
Sie werden auch bei JOINS genutzt, richtig. Aber auch wenn MySQL-Spaltennamen systemreservierte Namen wie zb. "MAX" haben.
Da kann es ohne ` Fehler verursachen etc
Stimmt, sorry, das hab ich verpennt zu erwähnen :p Aber denke jeder hat verstanden worum es geht 
Wofür entschuldigst du dich? 
Aber mal B2T (Back 2 Topic):
AceSoftwares:
Wie sieht deine Login.php den aus? (Ich frage wegen dem Escape)
Die $_POSTs variablen sind alle mit mysql_real escape geschrieben pw mit md5 verschlüsselt glaub das es so richtig ist
Okay, dann gibts da keine Bedenken
