Hi,

Der Titel ist vielleicht etwas komisch :)

Also ich habe folgendes Problem:


$sql = "SElECT name, vorname FROM daten WHERE name = '".$_POST["name"]."', vorname = '".$_POST["vorname"]."'";

Diese Abfrage funktioniert nicht und ich weiss auch warum und zwar wegen des 2. Where Arguments.

vorname = '".$_POST["vorname"]."'

Was für ein Zeichen muss zwischen die beiden Argumente, dass es funktioniert?

Vielen Dank

MFG
Kevin Haag

statt dem komma or oder and

vgl:


select a.obj1, a.obj2 from tabelle a where a.id>10 and a.`name`="tom"


also name auch durch ` einrahmen weil das ein keyword ist in mysql!

Darf ich freundlicherweise daran erinnern, dass nicht escapte Strings potenzielle SQL-Injektions darstellen...

siehe auch PHP/Mysql Doku

BTW: Der Mysql Table Alias ist überflüssig und besitzt hier kein funktionales Anrecht zu existieren

Also da ich erst angefangen habe zu programmieren verstehe ich leider nicht wie du das schreiben würdes damit es sicher ist.


Darf ich freundlicherweise daran erinnern, dass nicht escapte Strings potenzielle SQL-Injektions darstellen...

siehe auch PHP/Mysql Doku

BTW: Der Mysql Table Alias ist überflüssig und besitzt hier kein funktionales Anrecht zu existieren

Könntest du mir bitte erklären wie man jetzt z.B meinen Code "sicher" macht?

MFG
Kevin Haag

Das ist alles eine Frage wie genau man nun lesen möchte oder nicht...

Schau dir mal http://de2.php.net/mysql_real_escape_string insbesondere das Beispiel an.
Aber das dich ein Moderator darauf nicht hinweist, finde ich nicht sonderlich prickelnd

naja, ich würde dem mod hier keine schuld geben. schließlich wird ja selbst in der doku zu mysql_query absolut nicht auf mysql_real_escape_string hingewiesen:
http://de2.php.net/manual/de/function.mysql-query.php

greetz

ps: nur die englische seite http://de2.php.net/manual/en/function.mysql-query.php enthält zumindest einen siehe auch link...

Das sind im Grunde essentielle DB Grundlagen und auch der Grund warum X Pages mit Leichtigkeit gehackt werden können

ja, ich weiß was das natürlich auslösen kann.
finde es auch nicht falsch, darauf hinzuweisen, aber dann gleich persönlich werden ist halt nicht unbedingt zielfördernd.
man kann auch neutral auf das problem hinweisen.

bitte versuche das ein bisschen im hinterkopf zu halten.

greetz

ja, ich weiß was das natürlich auslösen kann.
finde es auch nicht falsch, darauf hinzuweisen, aber dann gleich persönlich werden ist halt nicht unbedingt zielfördernd.
man kann auch neutral auf das problem hinweisen.

bitte versuche das ein bisschen im hinterkopf zu halten.

greetz
Inwiefern persönlich?

Ich darf ja wohl noch meine Meinung äussern...
Mein mangelndes Verständnis begründet sich auf der Regel Fachkompetenz == Mod
Ob er es nun übersehen hat oder ob es im egal ist kann ich nicht beurteilen, jedenfalls halte ich es für sinnvoll solche Dinge Anfängern mitzuteilen

naja

Darf ich freundlicherweise daran erinnern, dass nicht escapte Strings potenzielle SQL-Injektions darstellen...

siehe auch PHP/Mysql Doku

BTW: Der Mysql Table Alias ist überflüssig und besitzt hier kein funktionales Anrecht zu existieren

magic quotes sind bei php4/5 standartmäßig aktivert.
deshalb besteht hier (falls php richtig konfiguriert ist) kein sicherheitsproblem.

Also ich finde es gut das mich Blutgerinsel auf die Sicherheitslücke aufmersam gemacht hat, so kann ich immer wieder dazu lernen;)

Und wegen den Magic Quotes, ich habe gehört das diese in php 6 verschwinden werden, sprich ich muss es doch umschreiben:)

MFG

Kevin Haag

magic quotes sind bei php4/5 standartmäßig aktivert.
deshalb besteht hier (falls php richtig konfiguriert ist) kein sicherheitsproblem.
Jap und dennoch existieren diverse Hoster die aus nicht nachvollziehbaren Gründen keine Standard(Wortstamm != Standarte)config verwenden wollen.

Man kann nun einfach im jugendlichen Leichtsinn davon ausgehen das auch alles wunderbar passen wird, oder man reduziert die Wahrscheinlichkeit das durch einen Bug in der PHP Funktion oder Fehlkonfiguration von PHP sich eine potenzielle Angriffsfläche bietet.

Im Grunde interessiert mich nicht was Andere tun oder was für Schwachstellen sich begünstigen....Warum auch, ist nicht meine Datenbank oder mein Script -.-