PHP führt MySQL-Query nicht aus?

DJ Deagle · 10. März 2014

Hallo,

ich habe ein kleines PHP-Skript gebastelt, welches nach einer Eingabe Dinge in eine Datenbank schreiben soll.
Leider schriebt das Skript nur, wenn der erste Server ausgewählt wurde etwas in die Datenbank.

PHP

$username = @$_POST['Name'];
$passwort = @$_POST['Passwort'];
$server = @$_POST['Server'];


if($server == "AL") {
	$source = "SELECT Name FROM Users_AL WHERE Name = '".$username."' LIMIT 1";
} else if($server == "RRR") {
	$source = "SELECT Name FROM Users_RRR WHERE Name = '".$username."' LIMIT 1";
} else if($server == "LOG") {
	$source = "SELECT Name FROM Users_LOG WHERE Name = '".$username."' LIMIT 1";
}else if($server == "") {
	$cont = "Bitte wähle einen Server aus!";
	$sucess = 0;
}


$result = mysql_query($source) OR die(mysql_error());
if(!mysql_num_rows($result)){
	if($server == "AL") {
		$pw = mysql_query("INSERT INTO Users_AL (`Name`, `Passwort`) VALUES ('".$username."', '".$passwort."')");
	} else if($server == "RRR") {
		$pw = mysql_query("INSERT INTO Users_RRR (`Name`, `Passwort`) VALUES ('".$username."', '".$passwort."')");
	} else if($server == "LOG") {
		$pw = mysql_query("INSERT INTO Users_LOG (`Name`, `Passwort`) VALUES ('".$username."', '".$passwort."')");
	}
	mysql_query($pw);
	$cont = "Dein Account wurde erfolgreich angelegt, bitte warte bis ein Leader diesen freischaltet!";
	$sucess = 1;
}else{
	$cont = "Dieser Account wurde bereits Registriert!";
	$sucess = 0;
}

Alles anzeigen

Woran kann das liegen?

lg

Edgar · 10. März 2014

Zitat von DJ Deagle

if($server == "AL") {
$pw = mysql_query("INSERT INTO Users_AL (`Name`, `Passwort`) VALUES ('".$username."', '".$passwort."')");
} else if($server == "RRR") {
$pw = mysql_query("INSERT INTO Users_RRR (`Name`, `Passwort`) VALUES ('".$username."', '".$passwort."')");
} else if($server == "LOG") {
$pw = mysql_query("INSERT INTO Users_LOG (`Name`, `Passwort`) VALUES ('".$username."', '".$passwort."')");
}
mysql_query($pw);

Alles anzeigen

Ich weiß nicht ob es daran liegt aber dennoch.
Du fühhst schon mysql_query aus: $pw = mysql_query("INSERT INTO Users_AL (`Name`, `Passwort`) VALUES ('".$username."', '".$passwort."')");

Trooper[Y] · 10. März 2014

1. SQL Injections geprüft?
2. @ vor $_POST?!
3. Wie gesagt, doppeltes Ausführen der Query.
4. Warum du das ganze nicht vernünftig debuggst, sondern stattdessen hier fragst, verstehe ich mitnichten. In Zeile 16 bekommst du das auch hin.
5. Erfolg auf Englisch schreibt sich "success"

DJ Deagle · 10. März 2014

PHP

$username = @$_POST['Name'];
$passwort = @$_POST['Passwort'];
$server = @$_POST['Server'];


if($server == "AL") {
	$source = "SELECT Name FROM Users_AL WHERE Name = '".$username."' LIMIT 1";
} else if($server == "RRR") {
	$source = "SELECT Name FROM Users_RRR WHERE Name = '".$username."' LIMIT 1";
} else if($server == "LOG") {
	$source = "SELECT Name FROM Users_LOG WHERE Name = '".$username."' LIMIT 1";
}else if($server == "") {
	$cont = "Bitte wähle einen Server aus!";
	$sucess = 0;
}


$result = mysql_query($source) OR die(mysql_error());
if(!mysql_num_rows($result)){
	if($server == "AL") {
		mysql_query("INSERT INTO Users_AL (`Name`, `Passwort`) VALUES ('".$username."', '".$passwort."')");
	} else if($server == "RRR") {
		mysql_query("INSERT INTO Users_RRR (`Name`, `Passwort`) VALUES ('".$username."', '".$passwort."')");
	} else if($server == "LOG") {
		mysql_query("INSERT INTO Users_LOG (`Name`, `Passwort`) VALUES ('".$username."', '".$passwort."')");
	}
	$cont = "Dein Account wurde erfolgreich angelegt, bitte warte bis ein Leader diesen freischaltet!";
	$sucess = 1;
}else{
	$cont = "Dieser Account wurde bereits Registriert!";
	$sucess = 0;
}

Alles anzeigen

Nun hab ich es so.
Doch leider fügt er, auch wenn ich "RRR" ausgewählt habe auf der Seite alles in die "AL"-Tabelle...

Trooper: das mit dem sucess soll kein Englisch, sondern einfach nur eine var sein.

[BE]axi92 · 10. März 2014

Benutze lieber mysqli + multiquerys dann kannst du schon mal ein paar Fehlerquellen ausschließen

DJ Deagle · 10. März 2014

Ich habe gerade ein bisschen daran rumgespielt und nun irgendwie die richtige Lösung gefunden.
danke trotzdem für die Hilfe.

lg

Trooper[Y] · 10. März 2014

Und du willst die Lösung hier niemanden wissen lassen?

DJ Deagle · 10. März 2014

PHP

$username = @$_POST['Name'];
$passwort = @$_POST['Passwort'];
$server = @$_POST['Server'];


if($server == "AL") {
	$source = "SELECT Name FROM Users_AL WHERE Name = '".$username."' LIMIT 1";
	$serv = 1;
} else if($server == "RRR") {
	$source = "SELECT Name FROM Users_RRR WHERE Name = '".$username."' LIMIT 1";
	$serv = 2;
} else if($server == "LOG") {
	$source = "SELECT Name FROM Users_LOG WHERE Name = '".$username."' LIMIT 1";
	$serv = 3;
}else if($server == "") {
	$cont = "Bitte wähle einen Server aus!";
	$sucess = 0;
}


$result = mysql_query($source) OR die(mysql_error());
if(!mysql_num_rows($result)){
	if($serv == 1) {
		mysql_query("INSERT INTO Users_AL (`Name`, `Passwort`) VALUES ('".$username."', '".$passwort."')");
	} else if($serv == 2) {
		mysql_query("INSERT INTO Users_RRR (`Name`, `Passwort`) VALUES ('".$username."', '".$passwort."')");
	} else if($serv == 3) {
		mysql_query("INSERT INTO Users_LOG (`Name`, `Passwort`) VALUES ('".$username."', '".$passwort."')");
	}
	$cont = "Dein Account wurde erfolgreich angelegt, bitte warte bis ein Leader diesen freischaltet!";
	$sucess = 1;
}else{
	$cont = "Dieser Account wurde bereits Registriert!";
	$sucess = 0;
}

Alles anzeigen

So klappts bei mir

**palwal** · 10. März 2014

Ich empfehle dir PDO für MySQL Statement zu verwenden da es SQL Injection schützt.

Und solltest du beim klassischen mysql_query() beiben dann mach es bitte mit mysql_escape_string() bzw. mit mysql_real_escape_string(), also so:

PHP

$abfrage = mysql_real_escape_string($_POST['abfrage']);

wobei die variante nur sehr gering hilft.

Liebe Grüße
palwal

Kinimod · 10. März 2014

Um meinen Vorredner mal zu komplettieren ein kleiner Exkurs zu SQL Injections.
Es gibt in SQL eine Sicherheitslücke, die es ermöglicht, durch Usereingaben einem Nutzer, der weiß, wie er es macht, Tabellen zu
manipulieren, zu löschen, neue zu erstellen usw, sofern man im Code nicht davor schützt. Dafür braucht man kein großer 1337 L33t Intern3t G4ngst4r Hacker zu sein, das kann jeder, der eine Suchmaschine bedienen kann.

Um davor zu schützen, liefert PHP eine Funktion mit, die einen String escapen kann. Sobald man diese Funktion richtig anwendet, ist man auf der sicheren Seite.

Beispiel:

PHP

mysql_query("SELECT * FROM accounts WHERE userName = '".$_GET["username"]."'");

(Von Dir so angewendet)
Bei diesem Beispiel könnte der User nun die gesamte Tabelle manipulieren.
Die Lösung:

PHP

mysql_query("SELECT * FROM accounts WHERE userName = '".mysql_real_escape_string($_GET["username"])."'");

Ja, es ist nervend auf Dauer, aber für die Sicherheit sollte keine Mühe gescheut werden.

**palwal** · 10. März 2014

John_Hunter wie bereits in meiner Antwort erhalten habe ich das bereits geschrieben
Aber wie gesagt mysql_real_escape_string() hilft nicht wirklich! PDO ist zwar ein wenig mehr aufwand aber Sicherheit geht vor.

http://us3.php.net/pdo

Kinimod · 10. März 2014

Zitat von palwal

John_Hunter wie bereits in meiner Antwort erhalten habe ich das bereits geschrieben
Aber wie gesagt mysql_real_escape_string() hilft nicht wirklich! PDO ist zwar ein wenig mehr aufwand aber Sicherheit geht vor.

http://us3.php.net/pdo

Deswegen auch:

Zitat

Um meinen Vorredner mal zu komplettieren

Meines war etwas ausführlicher und weist auch auf die Konsequenzen einer Nichtbeachtung hin.

DJ Deagle · 10. März 2014

Zitat von John_Hunter
Um meinen Vorredner mal zu komplettieren ein kleiner Exkurs zu SQL Injections.
Es gibt in SQL eine Sicherheitslücke, die es ermöglicht, durch Usereingaben einem Nutzer, der weiß, wie er es macht, Tabellen zu
manipulieren, zu löschen, neue zu erstellen usw, sofern man im Code nicht davor schützt. Dafür braucht man kein großer 1337 L33t Intern3t G4ngst4r Hacker zu sein, das kann jeder, der eine Suchmaschine bedienen kann.

Um davor zu schützen, liefert PHP eine Funktion mit, die einen String escapen kann. Sobald man diese Funktion richtig anwendet, ist man auf der sicheren Seite.

Beispiel:
PHP
mysql_query("SELECT * FROM accounts WHERE userName = '".$_GET["username"]."'");
(Von Dir so angewendet)
Bei diesem Beispiel könnte der User nun die gesamte Tabelle manipulieren.
Die Lösung:
PHP
mysql_query("SELECT * FROM accounts WHERE userName = '".mysql_real_escape_string($_GET["username"])."'");
Ja, es ist nervend auf Dauer, aber für die Sicherheit sollte keine Mühe gescheut werden.
Alles anzeigen

Ich verstehe nicht ganz, ich habe diesen ersten von dir genannten Code nirgends in meinem Skript o.o

Kinimod · 10. März 2014

Das war ein Beispiel.

mysql_query("INSERT INTO Users_RRR (`Name`, `Passwort`) VALUES ('".$username."', '".$passwort."')")

Das hast du aber und das ist genau das Selbe.

SLaYz · 10. März 2014

Also wenn du es in PDO machen willst könnte es etwa so Aussehen

PHP

<?php
/**
 * Created by PhpStorm.
 * User: SLaYz - JAGHAX Ltd. ©2012-2014
 * Date: 10.03.14
 * Time: 16:41
 * Filename: AddToDatabase.php
 * Project: PHPHelp
 */
require_once('Connection.php');
class AddToDatabase {
    private $Database;


    public function __construct(){
        $this->Database = new Connection();
        $this->Database = $this->Database->DatabaseConnect();
    }


    public function AddNewUser($User, $Password, $Server){
        $InsertUser = $this->Database->prepare("INSERT INTO `Userfiles` (`User`, `Password`, `Server`, `RegDate`) VALUES (:User,:Password, :Server, NOW())");
        $InsertUser->execute(array(':User'=>$User,':Password'=>$Password, ':Server'=>$Server));
        echo'<div class="alert alert-success">Sie wurden erfolgreich Eingetragen.</div>';
    }
}
?>

Alles anzeigen

PHP

<?php
/**
 * Created by PhpStorm.
 * User: SLaYz - JAGHAX Ltd. ©2012-2014
 * Date: 10.03.14
 * Time: 16:40
 * Filename: Connection.php
 * Project: PHPHelp
 */


class Connection {
    public function DatabaseConnect(){
        return new PDO('mysql:host=localhost;dbname=DB', 'USER', 'PW');
    }
}
?>

Alles anzeigen

* Der Code wurde getestet und Funktioniert ohne Probleme.

Klemmlampe · 10. März 2014

Und was daran ist nun besser, außer dass du PDO verwendest? Das ist so pseudo professionell, zum lernen absolut kontraproduktiv.

Zitat von palwal

Aber wie gesagt mysql_real_escape_string() hilft nicht wirklich!

Doch, natürlich. PDO macht intern auch nichts anderes als die Parameter für Statements zu escapen.

Man sollte aber aus ganz anderen Gründen die MySQL-Extension mehr nutzen: Deprecated und inzwischen, seit 5.5, entfernt.

Wenn wir schon beim Thema sind, hier ein wenig Lektüre: http://code.tutsplus.com/tutor…should-you-use--net-24059

Und nun ist auch mal Ende mit dem ganzen Geschwafel, das Problem ist gelöst.

DJ Deagle · 10. März 2014

Möchte aber kein PDO verwenden :o

[BE]axi92 · 11. März 2014

Zitat von DJ Deagle

Möchte aber kein PDO verwenden :o

Musst du natürlich nicht du solltest es so machen wie es für dich derzeit am angenehmsten ist.
Später wenn du das beherrscht kannst du dann umsteigen und solltest es auch wenn du dich weiterbilden willst.
Aber jetzt mach es so das es bei dir funktioniert.

Klemmlampe · 11. März 2014

Du musst nicht zwangsweise auf PDO umsteigen, aber zumindest weg von der alten MySQL-Extension.

breadfish.de 12. März 2022