MYSQL und android

Trancegott · 2012-07-04T08:56:55+0200

Ich weiß, es ist eigentlich nicht das richtige Forum, aber kann mir jemand sagen was hierdran:

PHP:

<?php
    mysql_connect("servername","name","passwort");
    mysql_select_db("dbname");
    $name = $_GET["name"];
    $points = $_GET["points"];
$query = "UPDATE highscore SET points=".$points." WHERE name='".$name."'"; 
  
      
    mysql_query($query);     
    mysql_close();
?>

falsch ist?
ich versuche das ganze mit

Code:

http://.../write.php?name=%22Alexa%20Bomkamp%22&points=%22100

aufzurufen.
Es kommt keine Fehlermeldung, aber in der Datenbank tut sich einfach nichts.

Danke im Vorraus.

ko5tik · 2012-07-04T09:06:21+0200

Habe nicht viel Ahnung von PHP, aber das was du da tust scherit gerade nach SQL-Injection ...

Tom299 · 2012-07-04T09:18:40+0200

Ich kenn mich mit PHP auch nicht aus, aber mein Arbeitskollege meinte, erst mal error_reporting aktivieren, damit du evtl. Fehler siehst.

Und am Beispiel bei php.net sieht man, daß man nach dem connect eine resource bekommt, die kann man schon mal abfragen und auch beim select_db mitgeben:

Code:

<?php

$link = mysql_connect('localhost', 'mysql_user', 'mysql_password');
if (!$link) {
    die('Verbindung nicht möglich : ' . mysql_error());
}

// benutze Datenbank foo
$db_selected = mysql_select_db('foo', $link);
if (!$db_selected) {
    die ('Kann foo nicht benutzen : ' . mysql_error());
}
?>

Thyrion · 2012-07-04T09:40:20+0200

http://.../write.php?name=%22Alexa%20Bomkamp%22&points=%22100

Ich habe von PHP auch keine Ahnung, aber müsste dann nicht in $name "Alexa Bomkamp" (inkl. Anführungszeichen) und in $points "100 (ebenfalls inkl. Anführungszeichen und auch nur eins) stehen? Falls ja, dann ist $points kein Integer, weswegen dein Update nicht klappen kann.

EDIT: Dein zusammengesetztes Update sieht ja so aus

PHP:

UPDATE highscore SET points="100 WHERE name='"Alexa Bomkamp"'

Versuch's mal ohne die %22 :smile:

DieGoldeneMitte · 2012-07-04T10:01:44+0200

Bitte, bitte, BITTE, keine SQL Befehle mit Stringkonkatenation zusammen bauen.
Das schreit nach unabsichtlicher (Alexanda 'Ducklip' Bohmkamp) oder absichtlicher (Alexandra';DROP table highscore;--) SQL-Injection.

Man sollte IMMER mit prepared Statents arbeiten: PHP: Prepared Statements und Stored Procedures - Manual

Siehe auch: https://xkcd.com/327/

Quick results: Click search for more Results…

MYSQL und android

Trancegott

Neues Mitglied

ko5tik

Stammgast

Tom299

Stammgast

Thyrion

Ehrenmitglied

DieGoldeneMitte

Dauergast

Ähnliche Themen