Kontakformular soll Usernamen kontrollieren.

MyLord · Beitrag von **MyLord** » 01.08.2007 22:17

Hallo zusammen,

ich habe ein Kontaktformular (kontakt.php) worüber sich User für ein bestimmtes Bereich im Forum ein Antrag schicken können. Es kommt leider sehr häufig vor das User den Antrag ausfüllen und zuschicken obwohl sie sich noch gar nicht im Forum registriert sind.

Im Kontaktformular muss der User auch seinen Usernamen im Forum angeben. Ich möchte nun dass die Daten vor dem Absenden mit der Datenbank verglichen werden um festzustellen ob der angegebene Username überhaupt im Forum registriert und aktiviert ist.

Ist so was überhaupt realisierbar?

Beitrag von **gn#36** » 01.08.2007 22:33

Klar.
Daten zum User befinden sich in der Tabelle prefix_users.
Die für dich interessanten Spalten dürften username und user_active (0 = nein). Wenn du das per SELECT Abfragst dann passe aber auf SQL Injection auf, also immer schön alles mit Fluchtzeichen versehen (bei mysql: mysql_real_escape_string() ansonsten auch addslashes()).

MyLord · Beitrag von **MyLord** » 01.08.2007 22:45

Sorry ich hab vergessen zu erwähnen das ich nicht programmieren kann

Beitrag von **gn#36** » 01.08.2007 22:57

Du kannst ja mal einen Versuch wagen und dann hinterher deine Versuche begutachten lassen. Das ist vermutlich gar nicht viel, hier vielleicht ein paar generelle Tipps dazu:
Das ganze wird vermutlich so in der Art aussehen:

Code: Alles auswählen

$username = mysql_real_escape_string($_POST['username']);
$sql = "SELECT user_id FROM prefix_users WHERE username = '$username' AND user_active = 1";
$result = $db->sql_query($sql) or die('Konnte User nicht herausfinden');
if(!$db->sql_num_rows($result))
{
//Es gibt keinen solchen User, oder er ist nicht aktiviert
echo "Du musst im Forum registriert sein um das Formular zu verwenden!";
}

Besser wäre es allerdings wenn du nicht nur die Kenntnis eines vorhandenen Usernamens verlangst, sondern auch überprufst, ob der User auch der ist den er Vorgibt zu sein, indem du einfach die KB:phpbb_seite verwendest. Das geht ziemlich einfach und macht das ganze auch noch ein wenig sicherer.

MyLord · Beitrag von **MyLord** » 02.08.2007 00:11

Habe den Code jetzt angepasst jedoch lässt sich das Kontaktformular nicht mehr aufrufen.

Fehlermeldung: Parse error: parse error, unexpected T_STRING in kontakt.php on line 48

In der Zeile 48 kommt dieser bereich vor

Code: Alles auswählen

echo "Du musst im Forum registriert sein um das Formular zu verwenden!";

Hmmmm

Xwitz · Beitrag von **Xwitz** » 02.08.2007 10:32

Der Fehler liegt vermutlich irgendwo davor, fehlendes Semikolon oder Klammer.

Wie verhinderst Du eigentlich, daß jemand den Namen von jemand anderem benutzt? Das einfachste wäre, wenn man sich für das Kontaktformular anmelden muß.
http://www.phpbb.de/doku/kb/phpbb_seite
Dann hast Du auch gleich die userdaten.

Beitrag von **gn#36** » 02.08.2007 10:48

Kleiner Tippfehler bei den Anführungszeichen, ist korrigiert...

Besser wäre es allerdings wenn du nicht nur die Kenntnis eines vorhandenen Usernamens verlangst, sondern auch überprufst, ob der User auch der ist den er Vorgibt zu sein, indem du einfach die KB:phpbb_seite verwendest. Das geht ziemlich einfach und macht das ganze auch noch ein wenig sicherer.

Dieser Meinung bin ich auch weiterhin...

MyLord · Beitrag von **MyLord** » 03.08.2007 05:37

Die Vorlage für in phpBB eingebundene Seiten habe ich schon eingebaut. (Es funktioniert)

Korrigierter Code ist auch eingebaut. Wenn ich jetzt das Formular ausgefüllt absenden möchte kommt folgende Fehlermeldung:

Fatal error: Call to a member function sql_query() on a non-object in kontakt.php on line 50

Line 50 ist:

Code: Alles auswählen

$result = $db->sql_query($sql) or die('Konnte User nicht herausfinden');

Beitrag von **Dr.Death** » 03.08.2007 08:52

Verlinke uns mal Deinen bisherigen Code als gesamt Datei ( TXT Format )

MyLord · Beitrag von **MyLord** » 04.08.2007 05:25

so hier ist nun der Inhalt von der kontakt.php als Txt-Datei: kontakt.txt