php - Hente data fra MySQL - Udvikleren.dk - Programmering, webdesign og grafik

Tags: php

Bruger #16723 @ 26.08.11 21:23

Der er flere år siden, jeg har arbejde med php

I tabellen har jeg en kolonne "fuldenavn" som den skal hente, men hvordan gør jeg ?

PHP kode

 <?
 $db=mysql_connect("teaterforeningenfyn.dk.mysql", "teaterforeninge", "xxxxxxxx"); mysql_select_db("teaterforeninge");
 $result = mysql_query("SELECT NULL FROM users WHERE brugernavn =
 '".$_POST['brugernavn']."' AND password = '".$_POST['password']."'") or die
 (mysql_error());
 if ($antal_raekker=mysql_num_rows($result)>0){
 
 [b]echo  ---------hent fuldenavn her -----------[/b][i][/i]
 echo "<h1>tillykke</h1>";
 }
 else
 {
     echo "<h1>Ukorrekt login</h1>";
     
     
 }
 ?>

9 svar postet i denne tråd vises herunder
3 indlæg har modtaget i alt 5 karma

Sorter efter stemmer Sorter efter dato

Bruger #16025 @ 27.08.11 08:40

442

Som Benni skriver, så er der et sql injection i det eksempel.
Jeg vil prøve at omskrive koden, som den skal skrives:

PHP kode

 <?php
      $db = mysql_connect("teaterforeningenfyn.dk.mysql", "teaterforeninge", "xxxxxxxx"); mysql_select_db("teaterforeninge");
      $username = htmlspecialchars($_POST["username"]);
      $password = htmlspecialchars(sha1($_POST["password"]));
 
      $sql = "SELECT fuldenavn FROM users WHERE brugernavn='$username' AND password='$password' ";
      $result = mysql_query($sql) or die("Fail error: ". mysql_error());
           
      $row = mysql_fetch_array($result);
          
      if(mysql_num_rows($result)>=1) {
            print $row['fuldenavn'];
            print "<h1>tillykke</h1>";
 
            $_SESSION["fuldenavn"] = $row["fuldenavn"];
      } else {
            print "Ukorrekt login";
      }
 ?>

Bare som eksempel, og er sikker på at det er hen ad det som Benni mener

Indlæg senest redigeret d. 27.08.2011 08:43 af Bruger #16025

Bruger #10576 @ 26.08.11 21:33

287

øh du skal jo ikke selecte null men fuldenavn ??

og så lave noget a la

PHP kode

 while($row = mysql_fetch_array($result))
   {
   echo $row['fuldenavn'];
 }

Bruger #16751 @ 26.08.11 22:30

Hej Jimmi

Denne kode skulle virke god fornøjelse

PHP kode

 <?
     $db=mysql_connect("teaterforeningenfyn.dk.mysql", "teaterforeninge", "xxxxxxxx"); mysql_select_db("teaterforeninge");
     $result = mysql_query("SELECT * FROM users WHERE brugernavn='".$_POST['brugernavn']."' AND password='".$_POST['password']."'") or die(mysql_error());
             
     while($row = mysql_fetch_array($result))
 {     
         
     if($row['brugernavn'])
         {
     echo $row['fuldenavn'];
     echo "<h1>tillykke</h1>";
     }
     else
     {
     echo "<h1>Ukorrekt login</h1>";
     }
     
 }
     ?>

Bruger #16723 @ 26.08.11 22:15

Den skal kun henre der fuldenavn, hvis brugernavn og password er rigtig. Ellers skal den skrive : Ukorrekt login

Bruger #10576 @ 27.08.11 08:28

287

den virker så jo ikke bedre end mit men ok ... Ingen grund til at hente alt, hvis det kun var fuldenavn der er brug for.. I øvrigt har du en sql injection risiko.

Indlæg senest redigeret d. 27.08.2011 08:29 af Bruger #10576

Bruger #10576 @ 27.08.11 10:15

287

htmlspecialchars hjælper dig måske mod xss men ikke mod sql injection.

Bruger #16025 @ 27.08.11 10:59

442

Så kan man bruge stripslash() og mysql_real_escape_string()

Bruger #16723 @ 27.08.11 14:27

Mange tak for hjælpen

PHP kode

 <?php
     $db = mysql_connect("teaterforeningenfyn.dk.mysql", "teaterforeninge", "XXXXX"); mysql_select_db("teaterforeninge");
     $username = htmlspecialchars($_POST["brugernavn"]);
     $password = htmlspecialchars($_POST["password"]);
     $sql = "SELECT fuldenavn FROM users WHERE brugernavn='$username' AND password='$password' ";
     $result = mysql_query($sql) or die("Fail error: ". mysql_error());
     $row = mysql_fetch_array($result);
     if(mysql_num_rows($result)>=1) {
     print $row['fuldenavn'];
     print "<h1>tillykke</h1>";
   
     } else {
     print "Ukorrekt login";
     }
     ?>

Bruger #16025 @ 27.08.11 15:41

442

Husk at give karma til det den der gav den bedste hjælp

Hente data fra MySQL

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler