MYSQL

[disler]

Auf meiner HP hab ich jetzt Datenbank integriert! Ich habe auch auf meiner Hp einen internen bereich gemacht! Kann mir jemand sagen, wie ich aus einer Tabelle ein einziges Attribut auslesen kann, eines bestimmtes??

Geht das mit dem Befehl :
"Select from tbl_meinehp_user where 'E-Mail' = '$_REQUEST['e-mail']' "


greez david

[DaPole]

ehm Ja!

Genau so geht das!

mit Where ist das schon korrekt!

Benutze aber nie LIKE ( So iner art durchsuchen )
ISt unsicher und wird von kiddies leicht ausgetrickst!

[disler]

Danke!

[splasch]

Zitat:

Geht das mit dem Befehl :
"Select from tbl_meinehp_user where 'E-Mail' = '$_REQUEST['e-mail']' "

Der Befehl ist net richtig geschrieben glaub nicht das er so funktionieren wird.
Und noch was schreib nie ungeprüft Werte von ausserhalb in die Db genau das machst du aber mit den Sql befehl.
Was willst du überhaupt von der Db abrufen das wurde nähmlich komplett vergessen im sql befehl anzugeben.

Select * from tbl_meinehp_user where E-Mail = '$mail' ;

Mfg Splasch

[disler]

Wenn einer eine E-Mail eingibt, sollen die Benutzerdaten des typ kommen. Das $Request['e-mail'] kommt vom Formular, wo er seine E-Mail angegeben hat. Das Formular macht eine überprüfung, ob es eine E-Mail ist, ausserdem vergleicht er sie dann mit den Daten in der DB! Deshalb dieser Befehl! Also erhrlich geasgt, verstehe ich den unterschied zwischen deinem und meinem Befehl ned!


nochmals meinem Befehl :
Select * From tbl_meienhp_user where E_Mail = 'Request["E-Mail"]'


E_Mail ist das Attribut in der DB!

P.S der Stern zwischen selext und From habe ich vergessen hinein zuschreiben! Der steht schon da!

[splasch]

Zu einen mal spricht man in einer Db von Spalten und tabellen aber ist jetzt egal.
Was ein Request ist weiß ich. In deinen Fall geht es um Sql injektion da du den Quell code nicht absichert und Daten ohne zu Prüfen gleich in die Db schickst.

Daher mußte die werte die vom Formular kommen erst prüfen ob es keine gefährlichen sql befehle enthält die deine Db Manipulieren könnte.Darum übergibt man ein get,post ,request nicht dierekt sondern prüft das ganze voher.
Dafür gibst in Php schon fertig befehle die das machen.

PHP-Code:

$Mail=mysql_escape_string($_REQUEST['e-mail']); 


Mfg Splasch

[disler]

Ich habe gemeint, das dieser befehl:
$db = Select * From tbl_meienhp_user where E_Mail = 'Request["E-Mail"]'
etwas ausliest.

Mit diesem Befehl frage ich ja nur etwas ab! Oder?
Ich habe gemeint mit :
Select * From tbl_meinehp_user set E_Mail = 'Request["E-Mai"l]'
schreibe ich etwas in die DB!

Also jetzt bin ich ein wenig verwirrt! Könntest du mir genau sagen, was etwas hineinschreibt, und was etwas hinaus nimmt??


danke schon im voraus!

[splasch]

Hi

Es ist egal ob du was lesen oder schreiben in die Db willst von ausen also Fremd user können das dann so Manipulieren das die Db entweder gelöscht wird oder einträge geändert werden bwz ein True zurückgeliefert wird.

schauen wir uns noch mal den Befehl an von dir

Select * From tbl_meinehp_user where E_Mail = '$_Request["E-Mai"l]'

So im Forumlar schreib nun ein Böser User ' or E_Mail='' //

Dann lautet dein Sql Befehl
Select * From tbl_meinehp_user where E_Mail = '' or E_Mail='' //;

Und siehe da Plötzlich gibt der Select befehl alles aus der Tabell aus die Where klausel wurde ausser kraft gesetzt.

Das war aber noch ein sehr Hamlose Manipulation des Sql befehles man könnte damit auch deine Db komplett löschen oder tabellen löschen oder sich selbst als Administrator eintragen und hätte dann vollen Zugriff auf deine Webseite.

Mfg Splasch

[disler]

Geht das auch, wenn ich im Formular mit Java Script definiert habe, das eine E-Mail Adresse angegeben werden muss??

<script type="text/javascript">

function MM_findObj(n, d) { //v4.01
var p,i,x; if(!d) d=document; if((p=n.indexOf("?"))>0&&parent.frames.length) {
d=parent.frames[n.substring(p+1)].document; n=n.substring(0,p);}
if(!(x=d[n])&&d.all) x=d.all[n]; for (i=0;!x&&i<d.forms.length;i++) x=d.forms[i][n];
for(i=0;!x&&d.layers&&i<d.layers.length;i++) x=MM_findObj(n,d.layers[i].document);
if(!x && d.getElementById) x=d.getElementById(n); return x;
}

function MM_validateForm() { //v4.0
var i,p,q,nm,test,num,min,max,errors='',args=MM_valida teForm.arguments;
for (i=0; i<(args.length-2); i+=3) { test=args[i+2]; val=MM_findObj(args[i]);
if (val) { nm=val.name; if ((val=val.value)!="") {
if (test.indexOf('isEmail')!=-1) { p=val.indexOf('@');
if (p<1 || p==(val.length-1)) errors+='- '+nm+' must contain an e-mail address.\n';
} else if (test!='R') { num = parseFloat(val);
if (isNaN(val)) errors+='- '+nm+' must contain a number.\n';
if (test.indexOf('inRange') != -1) { p=test.indexOf(':');
min=test.substring(8,p); max=test.substring(p+1);
if (num<min || max<num) errors+='- '+nm+' must contain a number between '+min+' and '+max+'.\n';
} } } else if (test.charAt(0) == 'R') errors += '- '+nm+' fehlt.\n'; }
} if (errors) alert('Folgende Fehler sind beim Sende versuch aufgetreten:\n'+errors);
document.MM_returnValue = (errors == '');
}
//-->
</script>


und hier noch das Form dazu!:

<form action="#" method="post" name="form1" onSubmit="MM_validateForm('e-mail','','RisEmail','passwort','','R');return document.MM_returnValue">


</p>
<table width="700">
<tr>
<td width="82"><label>E-Mail</label></td>
<td width="602"><input type="text" name="e-mail"></td>
</tr>

<tr>
<td><input type="submit" name="Submit" value="Senden"></td>
<td></td>
</tr>
</table>
</form>

[splasch]

Ja das geht dann immer noch.Man muß nemlich garnicht dein Formular benutzen um dir ein Request zu schicken.Damit wird dann deine ganze Javaüberprüfung umgangen.

Also nicht sicher.

Mfg Splasch