• Options
• Anmelden
• Registrieren
• Desktop Style
• Accelerated Mobile Pages Theme

SQL

• Index

  • Soforthilfe-forum
  • Soforthilfe Foren
  • Php
  • SQL
• SQL

• SQL

  Jakob_2608 > 15.08.2018, 17:45

  Code:

     
   <form action="test.php" method="post">
Angebot:<br>
 <select name="" value="'.$auswahl.'" size="5">
    <option>Test1</option>
    <option>Test2</option>
    <option>Test3</option>

   
   
   
   </select><br><br>      
    <input type="radio" name="ending" value="'.$ending.'">
       <input name="hpreise" type="submit" value="Senden">
   
   </form>
   
<?php
$pdo = new PDO('mysql:host=localhost;dbname=auftrag', 'Test', 'Passwort');
$ending = $pdo->prepare("DELETE FROM hpreise WHERE email = ?");
$ending->execute(array('email' => '$auswahl'));
?>

  
  Hey! Ich habe einfach probiert das Script (was ich gestern geschickt hatte) noch etwas abzuwandeln.
  
  Der Error ist folgender:
  Warning: PDOStatement::execute(): SQLSTATE[HY093]: Invalid parameter number: parameter was not defined in /var/www.test.de/login/test.php on line 57
  
  Jedoch kann ich damit irgendwie nichts anfangen. Danke im vorraus!

• RE: SQL

  basti1012 > 15.08.2018, 18:20

  Was hast du vor. Das du mit der selectbox die Einträge aussuchen kannst die du Löschen willst ?
  Weil so wie du das jetzt machst kann eigentlich gar nix gehen. Du solltest erstmal versuchen das du die auswahl von der Selectbox irgendwie im Php Script landet. Kannst du ja mit echo testen.
  Ich kann es wohl auch nicht viel besser ,aber was funktionierendes bekomme ich wohl hin. Dann läßt du dir von irgendwem sagen ob man das Script nehmen kann oder was noch geändert werden muß.
  
  Ich mal was und du kuckst in einer Stunde nochmal vorbei ok

• RE: SQL

  Jakob_2608 > 15.08.2018, 18:40

  Alles klar, ich schaue in ner Stunde nochmal. Ich probier das auch nochmal

• RE: SQL

  basti1012 > 15.08.2018, 19:24

  Meinst du das so mit den Löschen ?
  https://sebastian1012.bplaced.net/homepa...nction.php
  
  Der Code ist bestimmt wieder scheiße,aber funktioniert. Erkundige dich vorher bei irgendwelchen Programmierer deines vertrauens ob man den so nehmen kann.Ok.
  
  

  PHP-Code:

  <?php
$mysqli = mysqli_connect('localhost', 'sebastian1012_test', 'ACAB', 'sebastian1012_test');
if (mysqli_connect_errno())  die ("Connect failed: " . mysqli_connect_error());     
 
if(isset($_POST['sende'])) {  
    if(isset($_POST['bestetigen'])) {
        if(isset($_POST['optionauswahl'])){
            $was=$_POST['optionauswahl'];
            $query11 ="DELETE FROM register WHERE email='".mysqli_real_escape_string($mysqli,$was)."'";
            $result1 = mysqli_query($mysqli, $query11)  or die ("MySQL-Error: " . mysqli_error($mysqli));
            if($result1) { 
                 if(mysqli_affected_rows($mysqli)>0){
                       echo $was.' Wurde gelöscht';
                 }else{
                       echo "Nix gelöscht";
                 }
            } 
        }
    }else{ echo "Du mußt die Checkbox bestätigen um den Eintrag  zu löschen";}  
}
$query="select email from register";
$result = mysqli_query($mysqli, $query); 
if (mysqli_num_rows($result)){   
        $option='<option value=""> - auswahl -- </option>'; 
        while ($row = mysqli_fetch_assoc($result)){       
             $option.='<option value="'.htmlspecialchars($row['email']).'">'.htmlspecialchars($row['email']).'</option>'; 
        }
}else{
        $option='';
        echo "Kene Einträge vorhanden die man Löschen kann";
}
?>
<!DOCTYPE html>
<html>
<head>
<title>Einträge in Selectbox anzeigen und Löschen</title>
<style>
*{
margin:0;
padding:0;
}
body {
  color: #2c3e50;
  background: #ecf0f1;
  text-align:center;
}

</style>
</head>
<body>
<form action="sql-delete-function.php" method="post">
Einträge aus der Datenbank Löschen :<br>
 <select name="optionauswahl" size="5"> 
<?php echo $option; ?> 
   </select><br><br>       
   Bestätige zum Löschen:<input type="checkbox" name="bestetigen">
       <input id="name" name="sende" type="submit" value="Senden">
   </form>

</body>
</html> 


• RE: SQL

  Jakob_2608 > 15.08.2018, 21:23

  Okay. Danke für Deine Hilfe!

• RE: SQL

  m.scatello > 16.08.2018, 14:02

  Und wieder werden ohne zu escapen Daten an die DB geschickt.   Kopfschüttel 
  
  

  PHP-Code:

  if($result1) 


  ist auch Quatsch, das sagt nicht aus, ob wirklich gelöscht wurde, sondern dass die Abfrage fehlerfrei war. Wenn man überprüfen will, ob wirklich eine Zeile betroffen war, proüft man mit mysqli_affected_rows.
  
  Wie ich schon sagte, basti verteilt sein gefährliches Halbwissen.

• RE: SQL

  Jakob_2608 > 16.08.2018, 14:29

  (16.08.2018, 14:02)m.scatello schrieb: Und wieder werden ohne zu escapen Daten an die DB geschickt.   Kopfschüttel 
  
  

  PHP-Code:

  if($result1) 


  ist auch Quatsch, das sagt nicht aus, ob wirklich gelöscht wurde, sondern dass die Abfrage fehlerfrei war. Wenn man überprüfen will, ob wirklich eine Zeile betroffen war, proüft man mit mysqli_affected_rows.
  
  Wie ich schon sagte, basti verteilt sein gefährliches Halbwissen.

  
  
  
  Es ist Quatsch das ganze in so einer Form zu kritisieren. Er sagt ja, dass ich das nochmal gegenprüfen lassen soll. Wenn es so schrecklich ist dann wäre es auch angebracht eine Lösung bzw. eine Behebung des Fehlers vorzuschlagen. Das ist ja ein Forum, indem wir alle dazu lernen wollen.

• RE: SQL

  basti1012 > 16.08.2018, 14:39

  Wieso soll ich beim DELET den escapen ? Das verstehe ich nun garnicht. Wird doch gelöscht ,und nix gespeichert.
  
  Auserdem schreibe ich jetzt dabei das alles falsch ist. Soll sich jeder selbst ein Kopf rum machen. Ich könnte mein Arsch drauf wetten das im anderen Forum wieder was anderes erzählt wird.
  
  Aber weißt du was. Das testen wir jetzt mal. Mal kucken wie viele unterschiedliche Antworten auf das Script jetzt kommen .
  Am liebsten würde ich das mal durch alle Forums jagen um zu kucken wie viele verschiedene Antworten darauf kommen.
  
  Ok. Wenn die dann auch schreiben muß escapt werden dann escape ich alles . auch ein echo. Dann kann man nix mehr falsch machen

• RE: SQL

  Gast > 16.08.2018, 15:46

  (16.08.2018, 14:29)Jakob_2608 schrieb: Es ist Quatsch das ganze in so einer Form zu kritisieren. Er sagt ja, dass ich das nochmal gegenprüfen lassen soll. Wenn es so schrecklich ist dann wäre es auch angebracht eine Lösung bzw. eine Behebung des Fehlers vorzuschlagen. Das ist ja ein Forum, indem wir alle dazu lernen wollen.

  
  Nein, ist es nicht, denn basti wurde schon mehrfach auf das escapen hingewiesen, aber er veröffentlich immer wieder Scripte, die SQL-Injektions zulassen. Deswegen kann ich nur jedem raten, die Finger von seinen PHP-Scripten zu lassen.
  

  ---

  (16.08.2018, 14:39)basti1012 schrieb: Wieso soll ich beim DELET den escapen ? Das verstehe ich nun garnicht.  Wird doch gelöscht ,und nix gespeichert.

  Wenn bei
  
  

  PHP-Code:

  $query11 ="DELETE FROM register WHERE email='".$was."'"; 


  $was dies ist
  
  

  PHP-Code:

  $was = "xy@example.com' or email != '"; 


  dann ist deine Tabelle danach leer

• RE: SQL

  basti1012 > 16.08.2018, 16:06

  Ich escape ja meistens ,vergesse es aber auch öfters ich weiß.
  Nur das es bei DELETE auch sein muß wußte ich nicht. Bei Insert und Update wahr das klar.Gibt es nochwas ?
  Aber ich probiere das jetzt mal selber aus in meinen Tabellen eine injection rein zuklatschen. Dann verstehe ich es vieleicht besser wie einfach sowas gehen kann.
  Das andere cross site Scripting oder wie das heißt geht ja auch ganz einfach. Hatte das mal bei mir versucht und gesehen das es eigentlich zimlich einfach ist.
  Da hatte ich den sinn von htmlspecialcharts und co auch erst richtig verstanden.
• Ein Thema zurück Ein Thema vor