MySQL-Abfrage mittels url-Parameter in PHP

Zunächst ist es das erste mal, dass ich versuchen PHP..

hier ist der code :

<?php
if (isset($_GET['name']) && isset($_GET['password']) 
$uname = $_GET['name'];
$pass = $_GET['password'];
$conn = mysql_connect("localhost","DBusername","DBpassword");
mysql_select_db("DBname",$conn);
$result = mysql_query("SELECT * FROM table WHERE username=$uname and password =$password");
$row  = mysql_fetch_array($result);
if(is_array($row)) {
$ip = $row[ip];
 echo $ip ;
}else {
echo = "Invalid Username or Password!";
}
?>

Wenn ich versuche diesen link : http://www.mywebsite.com/page.php?name=user&password=mypassword

Dies ist eine Versteckte Seite, ich benutze es, um meine aufgenommenen Mitglieder mit IP-Adresse, wenn ein Benutzer
versucht den login in meine Windows Form Anwendung, die in C# geschrieben ist

bekomme immer eine leere Seite ..

vielen Dank im Voraus

parsing-db-user-name und Passwort in url ist Selbstmord
Fehler Protokollierung? mehrere Syntaxfehler und bad practices
Hinweis: Sie können isset($_GET['name'], $_GET['password']) stattdessen, Dinge zu bereinigen.

InformationsquelleAutor Dr.Vision | 2014-03-24

  1. 5

    Surround-Variablen mit einfachen Anführungszeichen und fügen Sie eine die(mysql_error()); am Ende, wie gezeigt.

    $result = mysql_query("SELECT * FROM `dvtmembers` WHERE username='$uname' and password ='$pass'") or die(mysql_error());

    Achtung : der code ist offen für SQL-Injection-Angriff.

    Anderen Großen Fehler.

    • Es sollte $uname nicht $uanme
    • Sie verpasst haben, eine Klammer nach der isset konstruieren
    • Sie dabei sind, eine Zuordnung zu den echo - Anweisung.

    Geänderten Code

    <?php
ini_set('display_startup_errors',1);
ini_set('display_errors',1);
error_reporting(-1);

if (isset($_GET['name']) && isset($_GET['password']))
{
$conn = mysql_connect("localhost","DBusername","DBpassword");
mysql_select_db("DBname",$conn);
$uname = mysql_real_escape_string($_GET['name']);
$pass = mysql_real_escape_string($_GET['password']);
$result = mysql_query("SELECT * FROM table WHERE username='$uname' and password ='$pass'") or die(mysql_error());
$row  = mysql_fetch_array($result);
if(is_array($row)) {
    $ip = $row['ip'];
    echo $ip ;
}else {
    echo "Invalid Username or Password!";
}
}
else { echo "Name and Password was not passed !";}
?>

    Diese(mysql_*) extension ist deprecated (veraltet PHP 5.5.0, und entfernt in der Zukunft. Stattdessen werden die MySQLi oder PDO_MySQL Erweiterung verwendet werden soll. Der Wechsel zu PreparedStatements ist sogar noch besser zur Abwehr von SQL-Injection-Angriffe !

    schon ausprobiert, immer noch nichts bekommen 🙁
    Haben Sie enabled error reporting ?
    ich bin auf GoDaddy hosting..
    können Sie versuchen, den code, den ich eingefügt ?
    Schließlich Geklappt, aber bekomme immer "Ungültiger Benutzername oder ungültiges Passwort!" aber ich geben Sie den Namen und pass korrekt.

    InformationsquelleAutor Shankar Damodaran

  2. 2

    verwenden Sie einfache Anführungszeichen in $row['ip'] und den Variablen auch. Ihre Abfrage ist vunerable ( SQl-Injection) also besser mysql_real_escape_string() für Parameter wie name , Passwort. 

       <?php
echo "<br/> Outside loop"; 

   if (isset($_GET['name']) && isset($_GET['password']) {
echo "<br/> Inside if loop"; 

    $uname =  mysql_real_escape_string($_GET['name']);
    $pass =  mysql_real_escape_string($_GET['password']);
    $conn = mysql_connect("localhost","DBusername","DBpassword");

if($conn == false ){ echo "Database not connected. DB error. " ; } 
echo "<br/> after connection "; 

    mysql_select_db("Tablename",$conn);
echo "<br/> after db selection"; 

    $result = mysql_query("SELECT * FROM dvtmembers WHERE username= '$uname' and password = '$pass' ") or die(mysql_error());
    $row  = mysql_fetch_array($result);
    if(mysql_num_rows($result) > 0) {
    $ip = $row['ip'];
     echo $ip ;
echo "<br/>final If loop"; 

    }else {
echo "<Br/> final else loop"; 

    echo = "Invalid Username or Password!";
    }
}
else { 

echo "Parameters are not passed" ; 
} 
    ?>
    immer noch nichts bekommen ..
    verwenden Sie diese aktualisierten code oben . und sagen Sie mir, was ist die Ausgabe ?
    Noch Leer 🙁 !!

    InformationsquelleAutor Ananth

Schreibe einen Kommentar