Hey,
ich habe folgendes Problem: Ich habe ein PHP Script und möchte dies gerne mit einem Parameter aufrufen. Der Aufruf sieht wiefolgt aus:

Ich habe in der PHP Datei folgenden Code:
In der Server.php stehen die Serverdaten.
Zum Testen habe ich mir die "sqlabfrage" also echo anzeigen lassen, doch egal, welchen Usernamen ich eingebe, es kommt immer folgende Ausgabe:

Kann mir da jemand sagen, wieso nicht der übergebene Parameter angezeigt wird? Was mache ich da denn falsch?

Aber dem Parameter darfst du nicht trauen, da musst du die EIngabe erst prüfen!

Noch eine kleine Anmerkung

Niemals den Parameter in einer SQL-Abfrage so einfügen:
Sonst besteht die Gefahr einer SQL-Injection, also immer den Parameter auf Gültigkeit überprüfen und nie den Parameter direkt in einer Abfrage einbauen!

Gruss Daniel

mysql_db_query($db, $sqlabfrage);
Hier muß (glaub ich?) erst der Query, dann die DB Verbindung.
Du zeigst nur den Query an, Du willst abe das Ergebnis anzeigen:
http://de.php.net/function.mysql-result
http://de.php.net/manual/de/function...-fetch-row.php
http://de.php.net/manual/de/function...etch-array.php
http://de.php.net/manual/de/function...etch-assoc.php
http://de.php.net/manual/de/function...tch-object.php

Wie die Vorposter schon gesagt haben solltest Du die Benutzereingaben nicht ungefiltert verwenden:
http://de.php.net/manual/de/function...ape-string.php

Außerdem ist es besser SELECT username, ... anstatt SELECT * zu schreiben.
Vielleicht solltest Du noch überlegen ob der Username wirklich in die URL gehört (weiß ja nicht was Du machen willst) vl. wäre es besser ihn über POST oder so zu senden?!

mfg

Jetzt kommt aber der Spass....falls magic_quotes_gpc an ist, darf man nicht ohne weiteres mysql_real_escape_string drueberlaufen lassen. Nehmen wir an ein User gibt das ein:
dann kommt in $_GET folgendes an:
Falls ich dann nochmal mysql_real_escape_string() drueberlaufen lass, dann hab ich
oder
Und wie mans dreht und wendet, das sind auf alle Faelle zuviele \

Deshalb: auf alle Faelle erstmal stripslashes() drueberlaufen lassen, wenn magic_quotes_gpc an ist (don't you just love it?)

Greetz
alcaeus

Okay, super.
Folgende Zeile funktioniert:

Warum ist das aber unsicher? Ich möchte doch nur anhand von einem Usernamen Daten auslesen...

Man kann damit das Query manipulieren:

Wenn $username bsp. das hier ist: ' OR 1=1 OR name='
Dann wird deutlich zu viel ausgelesen. Natürlich kann man auch anderes damit anstellen.

Siehe XKCD: "Exploits of a Mom"

Ueberleg dir einfach was passiert, wenn man so einen String ins Query reinhaut.

Greetz
alcaeus

ja dann könnte man dein Passwort leicht überschreiben oder überhaupt, natürlich kann man das auch nur wenn man weiß wie deine Tabbelen heißen aber wenn die daten aus phpbb kommen... '); CREATE Where(Name='NOOB' Password='angegebener Hash' Rang='1');

Syntax nicht ganz korrekt und Rang und so gibts nicht... ich will die SKs nicht dazu verleiten...^^

HI,

noch eine kleine Anmerkung

Die dazugehörige PHP-Variable heißt tatsächlich $username. Um aber an diese heranzukommen muss man in der PHP.Ini ne kleine Änderung vornehmen. Selbst nach einem kleinen Studium einer Beispiel PHP.ini hab ich zwar den Schalter nicht gefunden, bin mir aber 100%tig sicher, dass es ihn gibt.

rollstuhlfahrer