DB Ausgabe = Fehlermeldung beheben

[#AnymRolex*]

Hey Com,

Wollte Fragen wie man z.B sowas beheben/ändern könnte. Ich habe ein Programm indem man ein Buchstabe eingibt und alle Namen angezeigt werden mit den Anfangsbuchstaben der eingegeben wurde in ein neues .php Dokument. (Es geschieht per Mehtode POST in ein HTML-Dokument)

Nun wenn ich z.B direkt aufs Dokument gehe entsteht eine Fehlermeldung wie:

Notice: Undefined index: suche in C:\xampplinux\htdocs\zzzzzzzzzzzzz\index.php on line 6

Natürlich habe ich Sie definiert indem man sie im Input Bereich eingibt auf meinem HTML-Dokument. Jedoch würde ich gern wissen wie man sowas auch beheben könnte. Ist auch sehr wichtig gegen Angreifer sonst erhalten Sie ja Informationen.

Display_Erros könnte ich auch auf OFF stellen , nur ist mir eine Behebung lieber.

Hier sind die Codes:
HTML:

 Spoiler

HTML Code:

<html>
<head>

</head>

<body>
<form action="index.php" method="post">
<p><input name="suche"></p>
<p><input type="submit" name="senden"></p>
</table>

</body>

</html>

PHP:

 Spoiler

PHP Code:

<?php
$con = mysqli_connect("", "root");
mysqli_select_db($con, "dbname");

$sql = "SELECT name, vorname, password FROM personen ";
$sql .= " where name like '" . $_POST["suche"] . "%'";

$res = mysqli_query($con, $sql);

$num = mysqli_num_rows($res);
if($num==0) echo "Keine Datensätze gefunden";


while ($dt = mysqli_fetch_assoc($res))
{
echo "<table border='1'>";
echo "<tr><td>Name</td> <td>Vorname</td>";
echo "<td>Password</td></tr>";
echo "<tr>";
echo "<td>" . $dt["name"] . "</td>";
echo "<td>" . $dt["vorname"] . "</td>";
echo "<td>" . $dt["password"] . "</td>";
echo "</tr>";
}
echo "</table>";
mysqli_close($con);
?>

[Analysis']

Wenn es dir um sicher geht, dann verwende bitte wenigstens real_escape_string und mysqli wird in der Regel auch objektorientierend verwendet.

[#AnymRolex*]

Das ist mir bekannt, da ich ein neueinsteiger sind meine Kenntnisse mit OOP nicht ausreichend sind wollte ich wenigstens hier mal dafür nach einer Lösung finden. Und meine Frage lautete glaub ich anders... trotzdem Danke

[Mikesch01]

Du solltest abfragen, ob ein Post-Action gesendet wurde:

PHP Code:

if(isset($_POST['suche'])) {
/* dein Inhalt */
} 


So würde das bei dir ausschauen:

PHP Code:

 <?php
$con = mysqli_connect("", "root");
mysqli_select_db($con, "dbname");

if(isset($_POST['suche'])) {
$sql = "SELECT name, vorname, password FROM personen ";
$sql .= " where name like '" . $_POST["suche"] . "%'";

$res = mysqli_query($con, $sql);

$num = mysqli_num_rows($res);
if($num==0) echo "Keine Datensätze gefunden";


while ($dt = mysqli_fetch_assoc($res))
{
echo "<table border='1'>";
echo "<tr><td>Name</td> <td>Vorname</td>";
echo "<td>Password</td></tr>";
echo "<tr>";
echo "<td>" . $dt["name"] . "</td>";
echo "<td>" . $dt["vorname"] . "</td>";
echo "<td>" . $dt["password"] . "</td>";
echo "</tr>";
}
echo "</table>";
}

mysqli_close($con);
?>

Was deine Script-Sicherheit angeht, könntest du dir wirklich PDO anschauen oder mysqli_real_escape_string verwenden um deine Daten zu entschärfen.

[AllCowsAreBurgers]

Vergiss den escape mist jetz sofort und steig auf pdo um und/oder verwende prepared statements und benutze bindparam/value. Einmal den escape vergessen und schon is ne lücke offen. Ich hab sogar schon mal irgendwo gelesen, dass man sogar escapte strings umgehen kann. Also aufauf zu pdo

[#AnymRolex*]

Hammer Danke für den Tipp!

[OfficialiSEVEN]

Quote:

Originally Posted by AllCowsAreBurgers

Ich hab sogar schon mal irgendwo gelesen, dass man sogar escapte strings umgehen kann. Also aufauf zu pdo

Also davon würde ich gerne mal einen Artikel lesen. So recht glaube ich dir net.

[IchVerabschiedeMich]

Quote:

Originally Posted by FrickXHD

Also davon würde ich gerne mal einen Artikel lesen. So recht glaube ich dir net.

Hier wird das sehr gut erläutert, zwar wird dabei nicht direkt das Escaping umgangen, aber eine Injection ist es trotzdem.