per script in DB eingeben

[verrückter]

Ich bruache mal kurz eure Hilfe, weiss nicht weiter!
Ich will mit einem Script werte in eine DB eingeben.Bevor ich sie eingewben lasse, lasse ich sie aber auch nocheinmal ausgeben, damit ich sehe, ob auch alles richtig ist. Habe sogar ein error_reporting(E_ALL); am Anfang, aber es werden keine Fehler gemeldet. Ich dreh hier noch am rad.
Folgendes Script:

PHP-Code:

<?php
error_reporting(E_ALL);
$tempname = $_FILES['file']['tmp_name'];
$name = $_FILES['file']['name']; 




 $type = $_FILES['file']['type'];
$size = $_FILES['file']['size']; 




if($type != "image/gif" && $type != "image/jpeg" && $type != "image/pjpeg" && $type != "image/jpg") {
    $err[] = "nur gif und jpeg bzw. jpg Dateien dürfen hochgeladen werden.";
}
if($size > "100000") {
    $err[] = "Die Datei welche du hochladen willst, ist zu gross!<br>Maximale Dateigrosse beträgt 100 KB!";
} 




if(empty($err)) {
    copy("$tempname", "../../../pics/$name");
    echo "Die Datei $name wurde erfolgreich hochgeladen!";
}
else {
    foreach($err as $error)
    echo "$error<br>";
}
?> <?php
include("config.php");
extract($_POST);
$nameid="ich";
echo $nameid;
echo $artikel;            echo "<br>motorrad: ";
echo $motorrad;            echo "<br>typ: ";
echo $typ;                echo "<br>preis: ";
echo $preis;            echo "&euro; <br>Baujahr: ";
echo $bj;                echo "<br>EZ: ";
echo $ez;                  echo "<br>T&Uuml;V";
echo $tuv;                echo "<br>Beschreibung";
echo $beschreibung;        echo "<br>Besonderes";
echo $besonderes;        echo "<br>Unfall";
echo $unfall;            echo "<br>Tel: ";
echo $tel;                echo "<br>Mail: ";
echo $mail;                echo "<br>";
?>
<img src="../../../pics/<?php echo $name; ?>" height="300" width="400" alt="hallo">

<?php



mysql_query("INSERT INTO gebraucht
                      (pid,nameid,artikel,motorrad,preis,bild,bj,ez,tuv,beschreibung,besonderes,unfall,tel,mail,typ)
                 VALUES
                    ('','$nameid','$artikel','$motorrad','$preis','$name','$bj,'$ez','$tuv','$beschreibung','$besonderes','$unfall','$tel','$mail','$typ')");
                    

    ?>

Wie gesagt, es wird alles richtig ausgegeben, aber nicht in die Tabelle eingetragen!Weiss jemand hilfe?
Danke
der Verrückte

[c4]

Fällt Dir was auf?
--> ...'$name','$bj,'$ez'...

Tipp:
--> http://php.net/mysql_error

[dachris]

Vor alllem wo machst du denn eine Verbindung zur Datenbank auf????

[c4]

Zitat:

Zitat von dachris

Vor alllem wo machst du denn eine Verbindung zur Datenbank auf????

Anscheinend in config.php, sonst würde es ja einen Fehler geben. ;)

[verrückter]

Danke C4
Ich hab mir die Zeile echt 30 min angeguckt und das nicht gefunden.
Auch danke für den Link, ist echt ne Hilfe!

Es klappt jetzt, und du hast auch recht mit dem

Zitat:

Anscheinend in config.php, sonst würde es ja einen Fehler geben. ;)

Danke nochmals

[dachris]

und wo macht er sie dann wieder zu? :-)

[c4]

Das wird PHP überlassen.
--> http://php.net/mysql_close

[dachris]

Das ist schon richtig...
nur macht es Sinn wenn man weiss was ein Script macht....nur auf den garbage collector sich verlassen, würde heissen, das ich nicht volle Kontrolle über ein Script habe...
vor allem wenn man an OOP denkt....

Soll heissen...was ich aufmache, mache ich auch wieder zu.....

Dann noch eins

Du lässt die POSTDaten so ganz ungeprüft zu....

d.h. man kann durch Manipulation der POSTdaten (kann jeder bessere Browser) einfach die $_POST["typ"] verändern....

z.B. mit Anhang im Typ .....'alter typ')on dublicate key key update(das statement ersetzt was (hier darf keine Klammer mehr rein)....

d.h. man kann mit der Eingabe auf einmal alte Datensätze updaten....

siehe mysql injections.....

[c4]

Hier fängt wieder das Thema 'Ansichtssache' an: klar kann ich alles selber schließen, aber warum sollte ich PHP nicht auch irgendwas zutrauen?

Soll jeder machen, wie er lustig ist.






PS: Ich schließe auch alles per Hand, weil's einfach schöner ist. ;)
Aber nötig ist es trotzdem nicht.

[dachris]

Na gut verbleiben wir so :-)

Nur die Sache mit den sqlinjections sollte wirklich geändert werden