Sql-daten per form auslesen

[gn#36]

Hängt denke ich aber immer noch von der Forumsversion ab

[goodpeace]

Version 2 aber ich denk dass die version da nicht so viel zu sagen hat denn ist eigentlich nur ne einfache mysql abfrage wo eben nur hiner WHERE den wert eingefügt wird wo mann im Formulat eingibt .

[Miriam]

??? Wenn Du es nun schon so genau weißt, warum setzt Du es dann nicht um?

[goodpeace]

Ist gut habs hinbekommen .

Code: Alles auswählen

"><form id="form1" name="form1" method="post" action="get.php">
  <label>
  Nickname : 
  <input name="nick" type="text" />
  </label>
</form>

Un in der get.php

Code: Alles auswählen

><?php
include('db1.php');
$bann=mysql_fetch_array(mysql_query("SELECT * FROM orion_users WHERE  username = '$nick'")); 

?>

Und dann die einzeln mit echo $bann[SPALTE] abgefragt funktioniert supi[/quote]

[Valerion]

Achtung: Die von dir genannte Variante ist unsicher!!
http://de.wikipedia.org/wiki/SQL_Injection
Solltest du es nicht verstehen: Würde jemand bei Nickname

Code: Alles auswählen

'; DROP TABLE orion_users; SELECT * FROM orion_users WHERE username='

((NICHT EINGEBEN!!))
eingeben.
Dann ergibt sich folgender SQL-Befehl:

Code: Alles auswählen

SELECT * FROM orion_users WHERE username=''; DROP TABLE orion_users; SELECT * FROM orion_users WHERE username=''

Solltest du sowas eingeben ist die gesamte Tabelle gelöscht.
Alternativ kann man sich so zum Admin machen, alle Passwörter auslesen, etc. pp.
Lösung: ersetzte $nick durch mysql_real_escape_string($nick);
Siehe: http://de.wikipedia.org/wiki/SQL_Injection

[goodpeace]

Ich habs so gelöst da dein befehl nicht geklappt hat :

Code: Alles auswählen

$bann=mysql_fetch_array(mysql_query("SELECT * FROM orion_users WHERE  username = '".mysql_real_escape_string($_POST['nick'])."'")); 

Und es funktioniert =)

[Valerion]

So hab ich es eigentlich auch gemeint...