MYSQL Login Script

**1carter1**

Hi,

Ich versuche ein Loginscript zu realisieren, es gibt 2 input felder, eins heißt username das andere Password und dann noch einen Login button, nun hab ich in der datenbank die spalten username und password, diese möchte ich mit der eingabe vergleichen und wenns ne übereinstimmung gibt will ich erstmal nur ne showmessage anzeigen lassen, dass die daten korrekt sind, ich komm leider nicht wirklich weiter, hier ist mal mein ansatz:

zusammenfalten · markieren

Delphi-Quellcode:

			 Con := mysql_init(nil);

  if Assigned(Con) then

    try

      if Assigned(mysql_real_connect(Con, host, user, pass, db, 3306, nil, 0)) then

      begin

        query := 'SELECT username,password FROM user WHERE username = '+username.Text+ 'AND password = '+password.text;

        mysql_real_query(Con,PChar(query), Length(query));

         if Assigned(Res) then

         begin

        Res := mysql_store_result(Con);

          if (mysql_num_rows(Res) =1) then showmessage('Daten Korrekt');

          if (mysql_num_rows(Res) <>1) then showmessage('Daten Falsch');

        end;

      end

    finally

      mysql_close(Con);

    end;

**fkerber**

Hi!

Klappt dein Code gar nicht (Fehlermeldungen?) oder bekommst du nur nicht, was du haben willst?
Vllt. ist password ein Problem, weil es ein Schlüsselwort ist?

Grüße, Frederic

**1carter1**

das wäre ne idee, ich teste es mal eben aus und edite dann

//Edit nein geht auch nicht, wenn ich den namen änder, delphi spuckt ne exception aus, in der aber nicht wirklich was steht, sondern einfach nur adress violation libmysql.dll usw

**Sharky**

Hai 1carter1,

einen Fehler sehe ich schon einmal:

query := 'SELECT username,password FROM user WHERE username = '+username.Text+ 'AND password = '+password.text; Hier wird AND password direkt an den username gehängt. Ich mache solche Konstruktionen immer über die Delphi-Referenz durchsuchen

Format Funktion. Das ist leichter zu lesen finde ich.
query := Format('SELECT username,password FROM user WHERE username = %s AND password = %s',[username.Text, password.text]); Wenn Du den String der SQL-Anweisung jetzt noch als const deklarierst ist der eigentliche Sourcecode noch einfach zu lesen.

markieren

Delphi-Quellcode:

			const 

  UserQuery : string = 'SELECT username,password FROM user WHERE username = %s AND password = %s' 

begin

.

.

  query := FORMAT(UserQuery[username.Text, password.text]);

.

.

**Phoenix**

Siehe dazu auch:

http://xkcd.com/327/

Wir lernen daraus: NIEMALS einen SQL-String selber zusammenbauen. Für so etwas gibt es Parameter.
Bei Deinem Code muss man als Benutzernamen nur

markieren

Code:

nix'; DROP TABLE user; --

eingeben und Deine Datenbank ist am allerwertesten.

**Matze**

Zitat von Phoenix:

Wir lernen daraus: NIEMALS einen SQL-String selber zusammenbauen. Für so etwas gibt es Parameter.

Wenn man die Werte davor überprüft, dann kann man sie auch getrost manuell zusammen setzen (escapen etc.). Das hier im vorliegenden Fall jedoch nicht so.
Aber du hast Recht, mit Parametern ist es schöner.

**Sharky**

Ist die Verwendung von Parametern bei seiner LIB denn möglich?

**anse**

Zitat von Phoenix:

... nur

markieren

Code:

nix'; DROP TABLE user; --

eingeben und Deine Datenbank ist am allerwertesten.

Das stimmt nicht, auch wenn es gelegentlich so dargestellt wird - so ein SQL quittiert mysql_real_query() mit einem SQL Fehler, denn man kann nicht so einfach ein SQL Batch als Query abschicken. Wichtig ist einzig das korrekte Escapen von Benutzer-Eingaben.

**RWarnecke**

@1carter1:
Hast Du die Datei libmysql.dll in Deinem Windows/System32 oder in Deinem Programmverzeichnis liegen ?

**1carter1**

es ist total irrelevant wo die datei liegt, entweder im sys32 oder im programmordner, habs auch schon lange hinbekommen, der query muss so aussehen:

query := 'SELECT username,password FROM user WHERE username = "'+username.Text+ '" AND password = "'+password.text+'"';

mfg carTer

MYSQL Login Script

MYSQL Login Script

Re: MYSQL Login Script

Re: MYSQL Login Script

Re: MYSQL Login Script

Re: MYSQL Login Script

Re: MYSQL Login Script

Re: MYSQL Login Script

Re: MYSQL Login Script

Re: MYSQL Login Script

Re: MYSQL Login Script

Forumregeln

fkerber (CodeLib-Manager) Registriert seit: 9. Jul 2003 Ort: Ensdorf 6.723 Beiträge Delphi XE Professional	#2 Re: MYSQL Login Script 27. Dez 2009, 11:49 Hi! Klappt dein Code gar nicht (Fehlermeldungen?) oder bekommst du nur nicht, was du haben willst? Vllt. ist password ein Problem, weil es ein Schlüsselwort ist? Grüße, Frederic Frederic Kerber
	Zitat

1carter1 Registriert seit: 22. Nov 2009 30 Beiträge	#3 Re: MYSQL Login Script 27. Dez 2009, 12:02 das wäre ne idee, ich teste es mal eben aus und edite dann //Edit nein geht auch nicht, wenn ich den namen änder, delphi spuckt ne exception aus, in der aber nicht wirklich was steht, sondern einfach nur adress violation libmysql.dll usw
	Zitat

Matze (Co-Admin) Registriert seit: 7. Jul 2003 Ort: Schwabenländle 14.929 Beiträge Turbo Delphi für Win32	#6 Re: MYSQL Login Script 27. Dez 2009, 12:43 Zitat von Phoenix: Wir lernen daraus: NIEMALS einen SQL-String selber zusammenbauen. Für so etwas gibt es Parameter. Wenn man die Werte davor überprüft, dann kann man sie auch getrost manuell zusammen setzen (escapen etc.). Das hier im vorliegenden Fall jedoch nicht so. Aber du hast Recht, mit Parametern ist es schöner.
	Zitat

Sharky Registriert seit: 29. Mai 2002 Ort: Frankfurt 8.251 Beiträge Delphi 2006 Professional	#7 Re: MYSQL Login Script 27. Dez 2009, 12:48 Ist die Verwendung von Parametern bei seiner LIB denn möglich? Stephan B. "Lasst den Gänsen ihre Füßchen"
	Zitat

RWarnecke Registriert seit: 31. Dez 2004 Ort: Stuttgart 4.408 Beiträge Delphi XE8 Enterprise	#9 Re: MYSQL Login Script 28. Dez 2009, 00:28 @1carter1: Hast Du die Datei libmysql.dll in Deinem Windows/System32 oder in Deinem Programmverzeichnis liegen ? Rolf Warnecke App4Mission
	Zitat

1carter1 Registriert seit: 22. Nov 2009 30 Beiträge	#10 Re: MYSQL Login Script 28. Dez 2009, 11:00 es ist total irrelevant wo die datei liegt, entweder im sys32 oder im programmordner, habs auch schon lange hinbekommen, der query muss so aussehen: query := 'SELECT username,password FROM user WHERE username = "'+username.Text+ '" AND password = "'+password.text+'"'; mfg carTer
	Zitat