Mehrere spalten abfragen!

[defabricator]

Zitat:

defabricator war meine Lösung relativ ok?

Wie pingelig darf's denn sein? ;)

Zitat:

<head>
</head>

Laut w3 muss das header Element ein title Element enthalten.

Zitat:

include("Connect.php");

besser require. Connect.php sollte nicht einfach "unsichtbar" irgendeine Verbindung erstellen, sondern mindestens eine Funktion getDB() definieren, die eine Datenbankresource zurückgibt.

Zitat:

<?php $PHP_SELF ?>

Hier fehlt mindestens ein echo. $PHP_SELF ist nur mit register_globals=On definiert, default ist Off -> $_SERVER['PHP_SELF'], da steht aber alles drin, was der Benutzer nach der host Angabe eingegeben hat -> potentielle XSS Lücke.
action="?" reicht völlig aus, um dem Browser anzuzeigen, dass der gleiche uri aufgerufen werden soll.

Zitat:

<form action="<?php $PHP_SELF ?>" name="Formular" method="post">
Name: (KSTICKER)<input name="Name"

<form> muss nach w3 ein Blockelement wie zum beispiel <div> enthalten. Ein submit button wäre auch noch nett ;)

Code:

<form action="?" name="Formular" method="post">
 <div>
  Name: (KSTICKER)<input name="Name" type="text" size="30" maxlength="30" />
  <br />
  PLZ (01734):<input name="PLZ" type="text" size="30" maxlength="30" />
  <br/>
  Gebe einfach die in Klammer angegebenen Daten ein!<br/>
  Drücke dann Enter um die Daten anzuzeigen!<br />
  <input type="submit" />
 </div>
</form>

Zitat:

</form>
</body>
</html>
</form>

is'n bisschen viel und verdreht, oder?
Das letzte </form> muss weg. Wenn Du hier schon </body></html> ausgibst, dürften keine (HTML-)Daten mehr folgen.

Das restliche Skript sollte nur ausgeführt werden, wenn das Formular abgeschickt wurde, also wenn die $_POST Element gesetzt sind. Und erst dann wird überhaupt die Datenbankverbindung benötigt.

Zitat:

query = MYSQL_QUERY("Select Username, PLZ, Homepage From User Where Username = '".$_POST['Name']."' AND PLZ = '".$_POST['PLZ']."'");

Immer noch: http://en.wikibooks.org/wiki/Program...:SQL_Injection
Die Abfrage muss nicht unbedingt einen Datensatz liefert, deshalb $row abtesten, bevor darüber Daten ausgegeben werden sollen. Wo ist eigentlich das <table> Element?


ungetestet:

PHP-Code:

<html>
  <head><title>blub</title></head>
  <body>
    <form action="?" name="Formular" method="post">
      <div>
        Name: (KSTICKER)<input name="Name" type="text" size="30" maxlength="30" />
        <br />
        PLZ (01734):<input name="PLZ" type="text" size="30" maxlength="30" />
        <br />
        Gebe einfach die in Klammer angegebenen Daten ein!<br />
        Drücke dann Enter um die Daten anzuzeigen!
        <br />
        <input type="submit" />
      </div>
    </form>
<?php
if (isset($_POST['Name'], $_POST['PLZ'])) {
  require 'Connect.php';
  $mysql = getDB();
  $query = "SELECT
    Username, PLZ, Homepage
  FROM
    User
  WHERE
    Username = '".mysql_real_escape_string($_POST['Name'], $mysql)."'
    AND PLZ = '".mysql_real_escape_string($_POST['PLZ'], $mysql)."'";
  $result = mysql_query($query, $mysql) or die(mysql_error());
  $row = mysql_fetch_array($result, MYSQL_ASSOC);
  if ($row) {
    echo htmlentities($row['Username']) . ' - ' . 
      htmlentities($row['PLZ']) . ' - ' . 
      htmlentities($row['Homepage']) . "<br />\n";
  }
  else {
    echo 'kein Datensatz zu ' . htmlentities($_POST['Name']) . ' gefunden.';
  }
}
?>
  <p>The End</p>
  </body>
</html>

[ksticker]

Mensch wusste garnicht das meine Scripts so fehlerhaft sind, denn sie funktionieren eigentlich immer soweit fehlerfrei, danke für deine Analyse
Achja, das Script in diesem Thread war nur mal schnell als beispiel zusammengeschustert

[Ringo21]

jo du wolltest mein script haben kein problem:

PHP-Code:

 <?php
  include "../cfg/config.php";
   session_start();
   error_reporting(1);
   $name = $_GET["name"];
   $pass = $_GET["pass"];
   $pass = md5($pass);
    if($pass and $name) {
      include("connect.php");
      $query="SELECT * FROM leauser WHERE Name='". mysql_escape_string($name)."'";
      $result=mysql_query($query);
      $row=mysql_fetch_object($result);

      if(!$row)
      {

      echo 'Ich glaube Sie haben sich vertippt?<br>Versuchen Sie es noch einmal.';


      }
      else {
     if ($pass==$row->Passwort)
      {
    $_SESSION["loggedin"] = 1;
    $_SESSION["user"] = $name;
     echo '
<html>
<head>
<title>'.$pagetitle.'</title>
<link rel="stylesheet" type="text/css" href="../cfg/style.css" media="screen" />
<meta http-equiv="refresh" content="4;URL=../index.php?page=default">
</head>
<body>
    <table width="100%" height="100%">
         <tr valign="middle" align="center">
      <td><b>Hallo '.$_SESSION["user"].'. Du hast '.$active.' dich erfolgreich eingeloggt.</b>
      <br><a href="../index.php?page=default">Falls die automatische Weiterleitung nicht funktioniert, klicke bitte hier!</a></td>
     </tr>
    </table>';
        
        }
    else {
        echo "<i>Passwort oder Benutzername sind nicht in der Datenbank! <a href=\"login.php\">Weiter</a></i>";
    }
       }
      }
      else {
        echo 'Geben Sie bitte Ihren Benutzernamen und Ihr Passwort ein! <a href="login.php">Weiter</a>';
  }
 ?>

Über ordentlichkeit usw. bitte nicht allzu viel meckern ;-)
Funktioniert soweit einwandfrei, will darin halt nur die abfrage für die Spalte Freigabe und ob in der Spalte ja oder nein steht! Dann halt ne simple if abfrage ob ja oder nein drin steht! Wenn nein tjoah soll kein Login möglich sein und wenn ja dann schon!

Aber schonmal vielen dank für eure hilfen!!!

[ksticker]

wo soll der benutzer den bitte sein passwort und seinen Benutzernamen eingeben?

[Ringo21]

achso ja das ist in einem vorherigen formular, welches die daten dann an des vorherig gepostete schickt!

[ksticker]

kannst Du bitte auch mal das andere Script vollständig posten

[Ringo21]

klar:

PHP-Code:

<?php
 session_start();
  if($_SESSION["loggedin"] == 0) {
  $_SESSION["user"] = "Gast";
  }
  
  if ($_SESSION["loggedin"] == 0) {
            // nicht eingeloggt, also login und registrieren anzeigen
            
            echo '
    <form method="post" action="suche.php">
    <table width="100%" height="32" cellspacing="0" cellpadding="0" border="0">
     <tr>
      <td width="213"><img src="gfx/nav_buttons0.gif" usemap="#nav_buttons" width="213" height="32" border="0"></td>
      <td background="gfx/bg_nav.gif">&nbsp;</td>
      <td width="16"><img src="gfx/nav_lupe.gif" width="16" height="32"></td>
      <td width="108" background="gfx/bg_search.gif" align="center" valign="top"><input type="text" name="suchbegriff" value="Suchbegriff" class="suche"></td>
      <td width="30"><input name="send" src="gfx/nav_go.gif" type="image"></td>
      <td width="19"><img src="gfx/nav_right.gif" width="19" height="32"></td>
     </tr>
    </table>
    </form>
    <map id="nav_buttons" name="nav_buttons">
    <area shape="rect" alt="" coords="9,8,54,19" href="index.php?page=home" title="" />
    <area shape="rect" alt="" coords="70,8,159,19" href="index.php?page=members" title="" />
    <area shape="rect" alt="" coords="175,7,209,21" href="index.php?page=faq" title="" />
    <area shape="default" nohref="nohref" alt="" />
    </map>
    <form method="get" action="pages/login.php">
    <table width="886" cellspacing="2" cellpadding="2" border="1">
     <tr>
      <td height="15" colspan="2">Hallo <b>'.$_SESSION["user"].'</b></td>
      <td>&nbsp;</td>
     </tr>
     <tr>
      <td width="100" height="15"><input type="text" name="name" class="login"></td>
      <td width="100" height="15"><input type="password" name="pass" class="login"></td>
      <td>&nbsp;</td>
     </tr>
     <tr>
      <td width="100" height="15"><input type="image" src="gfx/button_login.gif" value="login"></td>
      <td width="100" height="15"><a href="pages/register.php"><img src="gfx/button_register.gif" border="0"></a></td>
      <td>&nbsp;</td>
     </tr>
    </table>
    </form>
    ';
        
        }        
?>

[ksticker]

so ich habe nun das 1. Script mal etwas umgeschrieben.
Ist aber ungetestet, da ich Deine Datenbank etc. nicht habe

PHP-Code:

<?php 
   session_start(); 
   include "../cfg/config.php"; 
   error_reporting(1); 
   $name = $_GET["name"]; 
   $pass = md5($_GET["pass"]); 
      #was soll diese if entweder kenne ich das nicht oder es ist falsch if($pass and $name) { 
      include("connect.php"); 
      $query="SELECT * FROM leauser WHERE Name='". mysql_escape_string($name)."'"; 
      $result=mysql_query($query); 
      $row=mysql_fetch_object($result); 

      if($name != $row['Name']){ 
      echo 'Diesen Benutzernamen gibt es nicht!<br>Bitte versuchen Sie es noch einmal.'; 
      }else{ 
      if ($pass == $row['Passwort']){ 
        $_SESSION["loggedin"] = 1; 
        $_SESSION["user"] = $name;
        #nur wenn passwort und username übereinstimmen wird die Seite aufgebaut -->
     echo ' 

<html> 
<head> 
<title>'.$pagetitle.'</title> 
<link rel="stylesheet" type="text/css" href="../cfg/style.css" media="screen" /> 
<meta http-equiv="refresh" content="4;URL=../index.php?page=default"> 
</head> 


<body> 
    <table width="100%" height="100%"> 
         <tr valign="middle" align="center"> 
              <td><b>Hallo '.$_SESSION["user"].'. Du hast '.$active.' dich erfolgreich eingeloggt.</b> <!--Wo kommt den der Inhalt der Variable activer her -->
              <br><a href="../index.php?page=default">Falls die automatische Weiterleitung nicht funktioniert, klicke bitte hier!</a></td> 
        </tr> 
    </table>'; 
         
        } 
    else { 
        echo "<i>Diese Kombination von Passwort und Benutzername gibt es nicht <a href=\"login.php\">Weiter</a></i>"; 
    } 
       } 
       #Das kann meiner Meinung nach weg
      #} 
      #else { 
       # echo 'Geben Sie bitte Ihren Benutzernamen und Ihr Passwort ein! <a href="login.php">Weiter</a>'; 
 #} 
 ?>

PS. Achte auf meine Kommentare im Script

[ksticker]

Fehler die mir aufgefallen sind:

a)Die Session wird als erstes gestartet
b)schau Dir einfach mal die md5verschlüsselung an hab es um eine Zeile gekürzt geht auch so
und ganz wichtig !!!!!!!!!!!!!!!!!! Passwörter übergibt man nicht per get, wenn dann nur verschlüsselt!!!!!! Was hat das für einen Sinn? Du verschlüsselt das Passwort erst nach der übergabe, das macht man nicht man verschlüsselt es vor der Übergabe damit es nicht jemand mitlesen kann!

[Ringo21]

OK das mit der verschlüsselung werd ich dann korrigieren danke für den Tip ist mir ganricht aufgefallen!
Problem ist aber noch beim

PHP-Code:

$query="SELECT * FROM leauser WHERE Name='". mysql_escape_string($name)."'"; 


Es wird da ja die Tabelle leauser aufgerufen und die Spalte Name aufgerufen! Soweit alles klar! Jetzt will ich aber eine zusätzliche spalte nach WHERE Name='"... aufrufen und zwar die spalte Freigabe! Aus welcher der inhalt ausgelesen werden soll sprich was in freigabe drin steht!!

Dank dir war sonst schon ne große hilfe!