[PHP] Fehlermeldung, bitte fülle alle Felder aus

[RG]Stormi25 · 12. September 2015

Hallo liebe Community, liebe Helfer,

ich habe mir folgendes System überlegt,

Spieler registriert sich und erhält bestätigungscode

dieser Bestätigungscode soll dann auf der Aktivierungsseite mit dem dazugehörigen Nutzernamen eingegebn werden.

Mit dem Benutzernamen, dies ist als Zusatz dessen fals er sich später einloggt und sich dann aktiviert

Nun zu meinem Problem

Ich fülle alle Felder aus aber der sagt mir, Bitte fülle alle felder aus.

Hier mal das Codestück dazu

PHP

<?php
session_start();
require_once("db_connect.php"); // Datei includen
?>
<html><meta charset="utf-8"/>
	<header><title>NRR Benutzer Aktivierung</title></header>
	<body>
	<form action="login_activate_code.php" method="post">
		<h1> Bitte gib zur Aktivierung deinen Aktivierungscode ein! </h1>
		<table align="center">
			<tr>
				<td>Benutzername</td>
				<td>&nbsp;</td>
				<td><input type="text" name="name" /></td>
			</tr>
			<tr>
				<td>10 stelliger Aktivierungscode</td>
				<td>&nbsp;</td>
				<td><input type="text" name="activate_code" /></td>
			</tr>
			<tr>
				<td>&nbsp;</td>
				<td>&nbsp;</td>
				<td><input type="submit" name="submit" value="Account aktivieren"/></td>
			</tr>
		</table>
	<?php
		session_start();
		if(isset($_POST['submit']))
		{

			$code_post = $_POST['activate_code'];
			$Benutzer_Name = $_POST['name'];

				$abfrage = mysql_query("SELECT * FROM User WHERE Benutzername = '$Benutzer_Name'");

				while($row = mysql_fetch_assoc($abfrage)) 
				{
					if($Benutzer_Name == "" || $code_post == "")
					{
						echo "Du musst alle Felder ausfüllen";
						exit();
					}
					else 
					{
						echo $code_post;
						echo $Benutzer_Name;
						echo $row['Code'];
						echo $_SESSION['benutzername'];
						if($code_post == $row['Code'] && $Benutzer_Name == $_SESSION['benutzername'])
						{





							mysql_query("UPDATE User SET Code ='0' WHERE Benutzername = '".$_SESSION['benutzername']."'");
							echo "Die Aktivierung deines Accounts war erfolgreich!";
							echo "Eine Bestätigung wird an deine Email- Adresse gesendet!";
							 ?>
							<meta http-equiv='refresh' content='0.4; URL=login_index.php' />
							<?php
							exit();



						}else { 
							echo "Diese Eingabe ist fehlerhaft, bitte überprüfe deine Eingabe!";
							exit();
						}
					}
				}
				echo "Bitte fülle alle Felder aus!";

		}
	?>
	</body>
</html>

Alles anzeigen

also der fehler ist halt dessen dass er nicht in die While Schleife reinkommt
ich weiß aber leider nicht warum

Goldkiller · 12. September 2015

Die Abfrage ob $Benutzer_Name oder $code_post leer sind,solltest du auch NICHT in der Schleife machen. Überleg dir doch mal wie das SQL Kommando aussieht (Z.35), wenn $Benutzer_Name leer ist:

SQL

SELECT * FROM User WHERE Benutzername = ''

Du hast wahrscheinlich keinen Benutzer OHNE Namen (wäre zumindest besser ), hast somit 0 Ergebnisse. Die while-Bedingung (Z.37) wird daher NIE wahr und somit kommst du auch nie zu der Abfrage aus Z.39

Edit:
Du bist mit dem o.g. Code übrigens sehr anfällig gegen SQL Injection.

[RG]Stormi25 · 12. September 2015

Zitat von Goldkiller

Du hast wahrscheinlich keinen Benutzer OHNE Namen (wäre zumindest besser ), hast somit 0 Ergebnisse. Die while-Bedingung (Z.37) wird daher NIE wahr und somit kommst du auch nie zu der Abfrage aus Z.39

soweit verstanden, heißt ich schreibe die abfrage einfach um und frage ob die gefüllt ist... oder wie?

Zitat von Goldkiller

Du bist mit dem o.g. Code übrigens sehr anfällig gegen SQL Injection.

inwieweit anfällig, wie kann man sich besser dagegen schützen?

Eine Frage noch dabei -> Lieber mit MYSQLi oder nur MYSQL schreiben?

edit: hast du gesehen dass da die variable drin steht, also der eingegebene benutzername

Zitat

PHP

SELECT * FROM User WHERE Benutzername = ''

Goldkiller · 12. September 2015

Die Abfrage ob $Benutzer_Name oder $code_post leer sind, sollte vor das SQL Kommando.

Die Eingabe des Benutzers filtern. Da findest du selbst hier im Forum genug Hinwese oder über Google.

MySQLi. Es gibt noch PDO, habe ich aber selbst noch nie verwendet. Daher kann ich dir dazu nichts sagen.

Zitat

edit: hast du gesehen dass da die variable drin steht, also der eingegebene benutzername

Zitat von Goldkiller
Überleg dir doch mal wie das SQL Kommando aussieht (Z.35), wenn $Benutzer_Name leer ist:
SQL
SELECT * FROM User WHERE Benutzername = '' -- $Benutzer_Name ist leer!

//Edit:
Die form musst du auch noch schließen. Dann mach auch mal ein print_r($_POST) über Zeile 29.

ChristianW · 12. September 2015

Lieber mysqli mysql gibt es in php 7 gar nicht mehr.

Du könntest ja mal mit strlen debuggen wie lang die beiden Strings sind.

Gegen SQLInjection schützt du dich unter anderem mit der mysqli_real_escape_string(..) Methode

[RG]Stormi25 · 12. September 2015

Zitat von ChristianW

Du könntest ja mal mit strlen debuggen wie lang die beiden Strings sind.

wofür brauche ich die Länge?

Ernie · 12. September 2015

Grundsätzlich als Tipp für Datenbankverbindungen wäre PDO auch noch eine Option. PDO Unterstütz in diesem Sinne mehr verschiedene Datenbanktreiber als mysqli*.

Was mir auffällt:
- Die PHP-Session wird doppelt gestartet ( Zeile 2 & 28 ) 1 mal genügt.
- Wo setzt du die $_SESSION["Benutzername"] Variable?

Hier mein Lösungsvorschlag dazu:
#mce_temp_url#

[RG]Stormi25 · 12. September 2015

Zitat von BlackFrozen

- Wo setzt du die $_SESSION["Benutzername"] Variable?

die wird in der registration.php bzw login.php gesetzt

sieht dann so aus

PHP

$abfrage = "SELECT Benutzername, Passwort FROM User WHERE Benutzername LIKE '$username' LIMIT 1";
		$ergebnis = mysql_query($abfrage);
		$row = mysql_fetch_object($ergebnis);


		if($row->Passwort == $password)
		{
			$_SESSION["benutzername"] = $username;
			if($abfrage_code = '0')
			{
				echo "<meta http-equiv='refresh' content='0.1; URL=login_index.php'";/>
			}
			else
			{
				echo "<meta http-equiv='refresh' content'0.1; URL=login_activate_code.php'";/>
			}

		}
		else
		{
			echo "Deine Zugangsdaten waren falsch. Bitte gebe sie erneut ein!";
			echo $password;
			echo $username;
		}

Alles anzeigen

das doppelte setzen der session hab ich rausgenommen

Ernie · 12. September 2015

Okay das erklärt dann schon mehr. Jedenfalls schau dir mal meinen Lösungsweg an. Du kannst das jetzt auch wieder zurück zu mysql oder mysqli* umschreiben, aber so in diese Richtung sollte es funktionieren

[RG]Stormi25 · 12. September 2015

Zitat von BlackFrozen

Okay das erklärt dann schon mehr. Jedenfalls schau dir mal meinen Lösungsweg an. Du kannst das jetzt auch wieder zurück zu mysql oder mysqli* umschreiben, aber so in diese Richtung sollte es funktionieren

das umschreiben würde ich ja gerne tun aber ich kann deinem weg per PDO nicht ganz folgen...

vlt kannst du mir doch auf die MYSQL Variante helfen...

Stimmt der rest denn? mit der übergabe der Session etc

breadfish.de 12. März 2022