Datensatz wird nicht vollst�ndig �berliefert

Page 1 of 2

07/26/2015 18:45 Bently.#1

Wie er Titel besagt wird kein Datensatz eingef�gt.

Ich habe 3 Datens�tze einnmal die ID Primary + Auto increment. Die zweite ist der Username auch Primary + varchar(25) , passsword varchar(25) ,, id wird immer um 1 Hochgez�hlt genau wie ich es wollte aber wenn ich Username und Password eingebe sind die in der Datenbank leer.

Spoiler

07/26/2015 19:03 .StarSplash#2

Wie hast du denn die Prim�rschl�ssel gesetzt?

Der Name sagt eigentlich schon, dass es davon nur einen geben kann, du kannst allerdings einen aus mehreren Spalten zusammensetzen, das macht nur in deinem Kontext absolut keinen Sinn. Belass es bei der ID als Prim�rschl�ssel und mach den Nutzernamen unique. Mir ist allerdings ein bisschen schleierhaft, wie du das �berhaupt so erzeugen konntest, das m�sste jedes halbwegs intelligente Programm verbieten.

Wenn du in einem String eine Variable einf�gen willst, musst du zwischen vorl�ufigem String-Ende und der Variable einen Punkt setzen. Ebenso nat�rlich andersrum am Ende der Variable. So wie du das handhabst w�rde allenfalls "$username" und "$password" in deiner Datenbank landen, dass das nicht passiert liegt daran, dass sich SQL an dem einzelnen $-Symbol st�rt.

PS: Benutz doch prepared-statements!

07/26/2015 21:21 Daifoku#3

Grunds�tzlich ist das mit dem PrimaryKey kein Problem, man m�sste dann nur einiges beachten. Die g�ngigste L�sung ist folgende Tabelle:

PHP Code:


			
CREATE TABLE IF NOT EXISTS `cms_user` (

  `id` int(11) NOT NULL AUTO_INCREMENT,

  `name` varchar(50) NOT NULL,

  `password` varchar(50) NOT NULL,

  PRIMARY KEY (`id`),

  UNIQUE KEY `name` (`name`)

);

Primary Key liegt auf der ID
Bei der Indizierung wird kein Benutzername mehr ben�tigt.
Mit diesem Konzept kann der Benutzername - sofern erw�nscht - nachtr�glich ohne weiteres ge�ndert werden.
Doppelte Nutzernamen sind nicht m�glich.

Ein weiteres Problem was mir direkt auff�llt ist deine Art zu programmieren. Du solltest bei einem Stil bleiben und nicht wechseln. Entweder prozeduraler oder Objekt-orientierter Stil. Am besten eignest du dir die OOP Variante von mysqli an, das ist einfach sinnvoller.
Wenn du mysqli verwendest, solltest du auch direkt deren Prepared statements nutzen, dann f�llt das escapen weg und du lernst nochmal n gutes St�ck guten Programmierstil dazu.

Weiterhin ist es sinnvoll, dass du deine Datenanbindung abkapselst und in eine externe PHP Datei legst. MVC sagt dir das was ? Wenn du was lernen willst, probiere dich daran ;-) google wird dir zu MVC php schon was sagen k�nnen :) Hier auch ein sch�ner Link dazu : [Only registered and activated users can see links. Click Here To Register...]

An meinen Vorredner:
"musst du zwischen vorl�ufigem String-Ende und der Variable einen Punkt setzen"

Die Aussage ist falsch, mit normalen Anf�hrungszeichen muss man das nicht. Beispielswiese ist folgender Code v�llig ok:

PHP Code:


			
$name = "Peter";

echo "Hallo $name";

Allerdings sollte man der �bersicht halber Variablen in Klammern setzen:

PHP Code:


			
echo "Hallo {$name}";

07/27/2015 01:04 .StarSplash#4

Quote:

Originally Posted by Daifoku

An meinen Vorredner:
"musst du zwischen vorl�ufigem String-Ende und der Variable einen Punkt setzen"

Die Aussage ist falsch, mit normalen Anf�hrungszeichen muss man das nicht. Beispielswiese ist folgender Code v�llig ok:

PHP Code:

$name = "Peter"; echo "Hallo $name";

Allerdings sollte man der �bersicht halber Variablen in Klammern setzen:

PHP Code:

echo "Hallo {$name}";

In der Tat, ja, ich habe mich irgendwie nur an dem einfachen Hochkomma direkt daneben orientiert, dass das ganze �berhaupt nicht konsistent ist, ist mir nicht aufgefallen :o

Ich w�rde aus Gr�nden der universellen Verst�ndlichkeit trotzdem immer mit dem Punkt arbeiten, komplexe Ausdr�cke die Klammern erfordern ausgenommen. Und ja, mir ist bewusst, dass das Konkatenieren mit dem Punkt f�r jeden Teil neu ausgef�hrt wird und somit langsamer ist, aber das halte ich in den meisten F�llen f�r verkraftbar.

07/27/2015 03:53 Bently.#5

Erstmal danke euch , werde aufjedenfall dies lernen.

Nur Problem besteht immer noch. Habe von Daifoku die Tabelle erstellt und es mit diesem Code probiert.

[SPOILER][/

PHP Code:


			
<form Action="<?php $_SERVER['SCRIPT_NAME'] ?>" method="POST">
<input type="text" name="username" required="required">
<input type="password" name="password" required="required">
<button type="submit">Anmelden</button>
<?php
if ("POST" == $_SERVER["REQUEST_METHOD"]) {

include "verbindung.php";

$anzeige = isset($_POST["anzeige"]) ? 1 : 0;


$insert = $verbindung->prepare("INSERT INTO `cms_user`
                SET
                `name` = :username,
                `password` = :password");
    
$insert->bindValue(':username', $_POST["username"]);
$insert->bindValue(':password', $_POST["password"]);
$insert->bindValue(':anzeige', $anzeige);

if ($insert->execute()) {
echo '<p>Die Naricht wurde eingetragen</p>';
}
else {
print_r($insert->errorInfo());
}
}
?>

SPOILER]

Fehlermeldung: Array ( [0] => HY093 [1] => [2] => )

07/27/2015 10:39 Daifoku#6

Das sieht doch schonmal gut aus :)

PHP Code:


			
$insert->bindValue(':anzeige', $anzeige);

verursacht einen Fehler. Du darfst nur Variablen binden die du auch wirklich verwendest ;-)
Zudem sollte das Passwort mindestens mit md5 gehasht werden ;-)

PHP Code:


			
$password = md5($_POST['password']);

$insert->bindValue(':password', $password);

07/27/2015 11:59 PixelTree#7

Quote:

Originally Posted by Daifoku

Zudem sollte das Passwort mindestens mit md5 gehasht werden ;-)

Bitte nicht, wenn du ihm schon sagst, dass er seine Passw�rter hashen soll, dann wenigstens nicht mit md5.

PHP Code:


			
$password = password_hash($_POST['password'], PASSWORD_DEFAULT);

$insert->bindValue(':password', $password);

md5 ist extra schnell und effizient, was keinesfalls w�nschenswert ist bei Passw�rtern, denn diese kann man mit guter Hardware schnell brute forcen. Dieses Problem versuchen Algorithmen wie bycrypt zu l�sen.

07/27/2015 13:21 Daifoku#8

Ich sagte "mindestens", md5 ist immerhin besser als plain..

Bei Verwendung von password_hash muss die MySQL Tabelle ge�ndert werden.

PHP Code:


			
CREATE TABLE IF NOT EXISTS `cms_user` ( 

  `id` int(11) NOT NULL AUTO_INCREMENT, 

  `name` varchar(50) NOT NULL, 

  `password` varchar(255) NOT NULL, 

  PRIMARY KEY (`id`), 

  UNIQUE KEY `name` (`name`) 

);

password_hash ist auf keine L�nge begrenzt, die momentane L�nge liegt bei ca 60 Zeichen, wird in Zukunft aber l�nger werden ...
password_hash gibt es erst seit PHP 5.5, daher ist hier auf die Kompatibilit�t des Servers zu achten.

07/27/2015 13:35 Devsome#9

Quote:

Originally Posted by Bently.

Erstmal danke euch , werde aufjedenfall dies lernen.

Nur Problem besteht immer noch. Habe von Daifoku die Tabelle erstellt und es mit diesem Code probiert.
[...]
Fehlermeldung: Array ( [0] => HY093 [1] => [2] => )

Wieso willst du "anzeige" binden wenn dieser Wert nicht in deinem prepare Statement vorkommt ?

PHP Code:


			
<form Action="<?php $_SERVER['SCRIPT_NAME'] ?>" method="POST">
<input type="text" name="username" required="required">
<input type="password" name="password" required="required">
<button type="submit">Anmelden</button>
<?php
if ("POST" == $_SERVER["REQUEST_METHOD"]) {

include "verbindung.php";

$anzeige = isset($_POST["anzeige"]) ? 1 : 0;


$insert = $verbindung->prepare("INSERT INTO cms_user (name, password) VALUES (?, ?)");
    
$insert->bindValue(1, $_POST["username"]);
$insert->bindValue(2, md5($_POST["password"]));

if ($insert->execute()) {
echo '<p>Die Naricht wurde eingetragen</p>';
}
else {
print_r($insert->errorInfo());
}
}
?>

ggf kannst du die ? auch mit

Code:

:name
:password

belegen.

PHP Code:


			
$insert = $verbindung->prepare("INSERT INTO cms_user (name, password) VALUES (:name, :password)");

PHP Code:


			
$insert->bindValue(":name", $_POST["username"]);
$insert->bindValue(":password", md5($_POST["password"]));

07/27/2015 16:20 Bently.#10

Danke f�r die Hilfe! Hat geklappt. Doch ist es so sicher?

Und die zweite Sache von Pixel das mit dem Passwort Hash , es gibt keine Fehlermeldung aus doch es erscheint auch kein Eintrag wenn ich das anwende mit dem Password Hash:

[SPOILER][/

PHP Code:


			
if ("POST" == $_SERVER["REQUEST_METHOD"]) {

include "verbindung.php";

$insert = $verbindung->prepare("INSERT INTO user_data_acc (username,password) VALUES (?, ?)");

$password = password_hash($_POST["password"], PASSWORD_DEFAULT);
$insert->bindValue(1, $_POST["username"]);
$insert->bindValue(2, $password);

if($insert->execute()) {
echo '<p>Die Naricht wurde eingetragen</p>';
}
else {
print_r($insert->errorInfo());
}
}

SPOILER]

07/27/2015 16:22 .StarSplash#11

Quote:

Originally Posted by Bently.

Danke f�r die Hilfe! Doch ist es so sicher?

MD5 ist nicht sicher, es macht es nur minimal schwerer das Passwort zu bekommen.
Benutz nen anst�ndigen Algorithmus daf�r.

07/27/2015 16:25 Devsome#12

Quote:

Originally Posted by .StarSplash

MD5 ist nicht sicher, es macht es nur minimal schwerer das Passwort zu bekommen.
Benutz nen anst�ndigen Algorithmus daf�r.

W�rde vielleicht sogar noch ein Captcha empfehlen, damit die Datenbank nicht zugem�llt wird.
[Only registered and activated users can see links. Click Here To Register...] und dann [Only registered and activated users can see links. Click Here To Register...] sollte doch reichen, oder ?

07/27/2015 16:30 Bently.#13

Sicherheit ist halt das wichtigste f�r mich. Ein Projekt mit L�cken kann ich gleich an den Nagel h�ngen.

Deswegen frage ich hier zur Sicherheit rum und nerve ein bisschen :P

Also wie sollte ich nun das Script erweitern mit einem sicheren Password und Captcha (Das mit dem Captcha k�nnte ich auch googlen)

07/27/2015 16:35 PixelTree#14

Quote:

Originally Posted by Devsome

W�rde vielleicht sogar noch ein Captcha empfehlen, damit die Datenbank nicht zugem�llt wird.
[Only registered and activated users can see links. Click Here To Register...] und dann [Only registered and activated users can see links. Click Here To Register...] sollte doch reichen, oder ?

Quote:

Warum sind verbreitete Hashfunktionen wie md5() und sha1() nicht f�r die Speicherung von Passw�rtern geeignet?
Hashalgorithmen wie MD5, SHA1 und SHA256 sind auf Geschwindigkeit und Effizienz optimiert. Mit modernen Techniken und leistungsstarker Hardware ist es aber trivial geworden diese Hashalgorithmen mit "brute force" Attacken anzugreifen.

Weil moderne Computer diese Hashalgorithmen leicht brechen k�nnen, werden diese von Sicherheitsspezialisten nicht f�r die Speicherung von Passw�rtern empfohlen.

[Only registered and activated users can see links. Click Here To Register...]

Nein reicht nicht, vorallem nicht ohne einen Salt.

Quote:

password_hash ist auf keine L�nge begrenzt, die momentane L�nge liegt bei ca 60 Zeichen, wird in Zukunft aber l�nger werden ...
password_hash gibt es erst seit PHP 5.5, daher ist hier auf die Kompatibilit�t des Servers zu achten.

Ich denke die Datenbankstruktur so fr�h zu �ndern sollte kein Problem darstellen.
Falls es wirklich an der Version scheitern soll, kann man immernoch [Only registered and activated users can see links. Click Here To Register...] verwenden und dort den Blowfish Algorithmus .

07/27/2015 17:01 Bently.#15

@Pixeltree , Du hast mir schon ein Beispiel gegeben mit dem Password_Hash jedoch hat es keine Wirkung.

Spoiler

Page 1 of 2