php - Fejl ved "se profil" - Udvikleren.dk - Programmering, webdesign og grafik

Tags: php

Bruger #15305 @ 20.09.09 23:02

Hej med jer. Hver gang jeg går ind under en profil kommer der ikke andet en fejlrapporten som også er nedest i koden. "Den afsøgte bruger blev ikke fundet. Prøv igen senere."
Hvorfor gør den det?

Kode

<?php
session_start();
if ($_SESSION['status'] == "login") 
{

}
else
{
print("	<script language='javascript'>
		location.href='?site=false';
		</script>");
}


include("access.php"); 
$sql = mysql_query("SELECT * FROM login WHERE id = '$id'");
			  while($row = mysql_fetch_array($sql)) {
?>
<html><head></head><body>
				<table width='400'>
				<tr>
					<td colsan='2'><? echo $row[user]; ?><h3></h3></td>
				</tr>
				<tr>
				<tr>
					<td width='100' height='20'><font face='verdana' size='-2'>Alder:</td>
					<td width='200'><font face='verdana' size='-2'><? echo $row[alder]; ?></font></td>
				<tr>
				<tr>
					<td width='100' height='20'><font face='verdana' size='-2'>Bopæl:</td>
					<td width='200'><font face='verdana' size='-2'><? echo $row[bopael]; ?></font></td>
				<tr>
				
					<td width='100' height='20'><font face='verdana' size='-2'>E-Mail:</font></td>
					<td><font face='verdana' size='-2'><a href='mailto:$row[email]'><? echo $row[email]; ?></a></font></td>
				</tr>
				<tr>
					<td width='100' height='20'><font face='verdana' size='-2'>Telefon:</td>
					<td width='200'><font face='verdana' size='-2'><? echo $row[tlf]; ?></font></td>
				<tr>
				</table>
</body></html>
<?

			  }
				if($id == NULL){
				echo "\n Den afsøgte bruger blev ikke fundet. <br>\n Prøv igen senere.\n";
				}
			
?>

8 svar postet i denne tråd vises herunder
2 indlæg har modtaget i alt 5 karma

Sorter efter stemmer Sorter efter dato

Bruger #10281 @ 21.09.09 00:57

363

ALT FOR NICE

Bruger #5097 @ 21.09.09 12:51

818

Henrik hvad mener du med "ond kode"? Tænker du på om der kan bruges SQL injections? Kan jeg ikke lige gennemskue om der kan.

Men det var så lidt Mark Kyed, og det er helt i orden det med UP'ne.

Bruger #5097 @ 21.09.09 00:47

818

Hmm du har ikke defineret $id. Kan det være det?

Bruger #15305 @ 21.09.09 02:51

Mange tak Shafh, det hjalp.
ved følgende fik jeg det til at virke!
if(isset($_GET['id'])) {
$query = mysql_query("SELECT * FROM login WHERE id = '$_GET[id]' ORDER BY id DESC");
$row = mysql_fetch_array($query);

Mads Ravn, du mener lige præcis hvad?

OG jeg kommer selvfølgelig til at give den forkerte points!!!

Indlæg senest redigeret d. 21.09.2009 02:52 af Bruger #15305

Bruger #14381 @ 21.09.09 06:05

319

Jeg spørger bare om du ikke burde tjekke for "ond kode" i dine MySQL sætninger, GET variabler, sessions osv osv, eller kommer det først på senere?

Bruger #14381 @ 21.09.09 12:54

319

Ja den slags

Bruger #2730 @ 21.09.09 13:09

1.626

Hehe naturligvis kan der sql injectes, hvad hvis jeg skrev følgende i get variablen: 1 or 1=1'-- (er ikke lige stiv i mysql syntax, men -- er vist kommentarer ligesom // i programmeringssprog)

så ville din sql se således ud:
SELECT * FROM LOGIN WHERE id= '1' or 1=1

Det ville give et sandt udtryk og det ville være første trin på vejen :-) brug parametre i dine databasekald, det fjerner denne mulighed.

Indlæg senest redigeret d. 21.09.2009 13:09 af Bruger #2730

Bruger #14381 @ 21.09.09 18:19

319

Yep sådan Brian, kan godt genkende de der injections men kan ikke lige skrive dem selv

Fejl ved "se profil"

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler