[jackson2340]

servus!
bin php & sql noob und wollte von euch wissen, obwohl folgendes richtig ist bzw. funktioniert:
ich würde es auch gerne testen, aber unser server is grad down, aber ich brauche das für morgen.
deswegen die frage, könnte das klappen bzw. was könnte man noch optimieren?

daten per get via url eingabe in datenbank schreiben:

 $sqlUser = "fia";
 $sqlPW = "xyz123";
 $id  = $_GET['id'];
 $uebung = $_GET['uebung'];
 $frage1 = $_GET['frage1'];
 $frage2 = $_GET['frage2'];
 $frage3 = $_GET['frage3'];
 $frage4 = $_GET['frage4'];
  
 mysql_connect("localhost", $sqlUser, $sqlPW) or die ('Error: ' . mysql_error());
 mysql_select_db("firstaid");

 $eintragen = mysql_query("INSERT INTO links (id,uebung,frage1,frage2,frage3,frage4) VALUES ('".$_POST['id']."','".$_POST['uebung']."','".$_POST['frage1']."','".$_POST['frage2']."','".$_POST['frage3']."','".$_POST['frage4']."')");
echo"Eintragung abgeschlossen!";
?>

datenbank auslesen:

<?php
$sqlUser = "fia";
$sqlPW = "xyz123";
mysql_connect("localhost", $sqlUser, $sqlPW) or die ('Error: ' . mysql_error());
$abfrage = "SELECT * FROM links";
echo "Ausgabe beendet!";
?>

[Stefan_der_held]

bevor du es einträgst bzw überhaupt soweit gehst...

überprüfe vorher mal nach ob überhaupt die Infos richtig übergeben wurden

Wenn mich mein PHP-Wissen noch nicht vollständig verlassen hat kannst du das so machen:

echo ($uebung);
echo ($frage1);

und so weiter. Ob nund ie Werte in die richtigen Spalten hinterher eingetragen werden lässt sich schlecht sagen ohne die Datenbankstruktur (auch Reihenfolge der Spalten) zu kennen.

Aber stelle mit obenstehendem Beispiel erstmal sicher, dass die Werte richtig ans PHP übergeben werden.

[Holger_N]

Das $eintragen = kannst du weglassen, also nur

mysql_query("INSERT INTO links (id,uebung,frage1,frage2,frage3,frage4) VALUES ('".$_POST['id']."','".$_POST['uebung']."','".$_POST['frage1']."','".$_POST['frage2']."','".$_POST['frage3']."','".$_POST['frage4']."')");
echo"Eintragung abgeschlossen!";

aber irgendwie macht das keinen Sinn. Wie übergibst du denn die Daten? Oben fragst du per GET ab, benutzt die aber gar nicht und beim Eintragen fragst du per POST ab, was aber auch sehr leichtsinnig ist, Formulareingaben unbehandelt und ungeprüft in die Datenbank schreiben zu wollen. Da ist ja Tür und Tor für Manipulationen offen.

[jackson2340]

deswegem wollte ich ja wissen, ob das sinn macht?
wie gesagt noob, hab mir das irgendwie zusammengebastelt.
die daten sollten via browser adresszeile eingegeben werden.
ich werde das gleich noch mal optimieren und dann noch mal hier posten.

Dieser Beitrag wurde von jackson2340 bearbeitet: 11. Mai 2011 - 14:49

[Ludacris]

fang die daten ab mit

$variablenname = $_GET["variable"];

dann schau ob sie valid sind, hau alle html tags raus bzw ersetze die <> mit &lt;&gt; dann kann der user schonmal keine javascripts mehr raufhaun wie zb

<script>alert("Werbung");</script>

was bei jedem anzeigen der daten aus der datenbank ein js alert mit dem inhalt werbung anzeigen würde. ich kann dir gerne unterlagen von der FH dazu schicken, sind nur ein paar powerpoint slides, die das ganze aber recht schön abdecken.

Dieser Beitrag wurde von Ludacris bearbeitet: 11. Mai 2011 - 15:21

[Texer]

Am besten eine kleine Funktion zum säubern aufrufen und dann die Daten speichern.

function FUNC_CLEAR_GET_POST($var){
	if(is_array($var)){
		foreach($var as $k => $w){
			$var[$k]=htmlentities($w, ENT_QUOTES);
		}
	}
	return $var;
}

# GET und POST säubern
$_GET=FUNC_CLEAR_GET_POST($_GET);
$_POST=FUNC_CLEAR_GET_POST($_POST);

Dieser Beitrag wurde von Texer bearbeitet: 12. Mai 2011 - 10:45