Suche in Mysql

Taxel · 17. November 2009, 18:52

Seid wieder einmal gegrüßt,
oh ihr, die ihr mir hoffentlich auch dieses mal helfen könnt.

Dieses Script hier

PHP-Quellcode

<?php
$search = $_POST['search'];
if(!isset($search)){
?>
<h1>Suche</h1><br />
<form action="suche.php" method="post">
<input name="search" type="hidden" value="1" />
<input name="name" type="text" value="Mapname" maxlength="30" /><br />
<input name="uploader" type="text" value="Autor" maxlength="30" /><br />
Spieler:<br />
<select name="players">
<option value="4-8">4-8</option>
<option value="8-12">8-12</option>
<option value="12-16">12-16</option>
</select><br />
Spielmodi:
<input name="dm" type="checkbox" value="dm" checked /><label>dm</label>
<input name="tdm" type="checkbox" value="tdm" checked /><label>tdm</label>
<input name="ctd" type="checkbox" value="ctd" checked /><label>ctd</label>
<input name="upr" type="checkbox" value="upr" checked /><label>upr</label>
<br />
<br /><input name="submit" type="submit" value="Suche!" />
</form>
<?php }
else{
$players = $_POST['players'];
$type_dm = $_POST['dm'];
$type_tdm = $_POST['tdm'];
$type_ctd = $_POST['ctd'];
$type_upr = $_POST['upr'];
$name = $_POST['name'];
$uploader = $_POST['uploader'];
$sql = "SELECT * FROM maps WHERE ";
if(isset($players)){$sql.= "players = '$players'";}
if(isset($type_dm)){$sql.= "AND type_dm = '1'";}
if(isset($type_tdm)){$sql.= "AND type_tdm = '1'";}
if(isset($type_ctd)){$sql.= "AND type_ctd = '1'";}
if(isset($type_upr)){$sql.= "AND type_upr = '1'";}
if(isset($name)){$sql.= "AND name = '$name' ";}
if(isset($uploader)){$sql.= "AND uploader = '$uploader' ";}
$sql .= "LIMIT $start, $eintraege_pro_seite";
?>

Alles anzeigen

soll eigentlich, wenn über POST die Variable $search übergeben wurde, alle Tabelleneinträge, in denen das im Suchformular Gesuchte steht, abgefragt werden.
aber geht nicht.

nichts wird durch die (funktionierende und auf den geposteten Scriptabschnitt folgende) Ausgabe ausgegeben.
hab ich irgendwo nen Syntaktischen Fehler?
oder was anderes?

Danke im Vorraus

Taxel

Broken Sword · 17. November 2009, 19:48

Hi,
was soll denn ausgegeben werden? Der SQL-String oder was?
Dass du das Wichtigste weg lässt, trägt nicht besonders gut zum Thema bei. Poste einfach mal das gesamte Werk.
btw. Wenn keine POST-Daten vorhanden sind, du aber wie in Zeile 2 darauf zugreifst, ist das ein notice-Fehler.

btw2. $start und $eintraege_po_seite sind nirgends deklariert.

btw3. mit SQL-Injection hast du dich, wie ich sehe, immer noch nicht beschäftigt. Jedes Script-Kiddie kann deine DB auslesen und Schlimmeres.

btw4. dein letztes Thema ist immer noch geöffnet, wenn das allerdings erledigt ist, so kennzeichne das auch so.

Gruß
Broken Sword

Taxel · 18. November 2009, 00:26

PHP-Quellcode

<?php
$db = @new mysqli('localhost', 'user', 'pw', 'db');
if (mysqli_connect_errno()) {
die ('Konnte keine Verbindung zur Datenbank aufbauen: '.mysqli_connect_error().'('.mysqli_connect_errno().')');
}
$seite = $_GET['seite']; //Abfrage auf welcher Seite man ist
//Wenn man keine Seite angegeben hat, ist man automatisch auf Seite 1
if(!isset($seite))
{
$seite = 1;
}
$eintraege_pro_seite = 60;
//Ausrechen welche Spalte man zuerst ausgeben muss:
$start = $seite * $eintraege_pro_seite - $eintraege_pro_seite;
//Tabelle Abfragen
$sql = "SELECT * FROM maps LIMIT $start, $eintraege_pro_seite";
$search = $_POST['search'];
if(!isset($search)){
?>
<h1>Suche</h1><br />
<form action="suche.php" method="post">
<input name="search" type="hidden" value="1" />
<input name="name" type="text" value="Mapname" maxlength="30" /><br />
<input name="uploader" type="text" value="Autor" maxlength="30" /><br />
Spieler:<br />
<select name="players">
<option value="4-8">4-8</option>
<option value="8-12">8-12</option>
<option value="12-16">12-16</option>
</select><br />
Spielmodi:
<input name="dm" type="checkbox" value="dm" checked /><label>dm</label>
<input name="tdm" type="checkbox" value="tdm" checked /><label>tdm</label>
<input name="ctd" type="checkbox" value="ctd" checked /><label>ctd</label>
<input name="upr" type="checkbox" value="upr" checked /><label>upr</label>
<br />
<br /><input name="submit" type="submit" value="Suche!" />
</form>
<?php }
else{
$players = $_POST['players'];
$type_dm = $_POST['dm'];
$type_tdm = $_POST['tdm'];
$type_ctd = $_POST['ctd'];
$type_upr = $_POST['upr'];
$name = $_POST['name'];
$uploader = $_POST['uploader'];
$sql = "SELECT * FROM maps WHERE ";
if(isset($players)){$sql.= "players = '$players'";}
if(isset($type_dm)){$sql.= "AND type_dm = '1'";}
if(isset($type_tdm)){$sql.= "AND type_tdm = '1'";}
if(isset($type_ctd)){$sql.= "AND type_ctd = '1'";}
if(isset($type_upr)){$sql.= "AND type_upr = '1'";}
if(isset($name)){$sql.= "AND name = '$name' ";}
if(isset($uploader)){$sql.= "AND uploader = '$uploader' ";}
$sql .= "LIMIT $start, $eintraege_pro_seite";
?>
<h1>Ergebnisse:</h1>
<table width="600" border="2px" cellpadding="2px" cellspacing="0px" bordercolor="#996633" bordercolorlight="#999966" bordercolordark="#993300" rules="cols">
<tr bgcolor="#8E7049">
<th scope="col">Name</th>
<th scope="col">Autor</th>
<th scope="col">Bewertung</th>
<th>Spieler</th>
<th scope="col">Modi</th>
</tr>
<?php $result = $db->query($sql);
if (!$result) {
die ('Etwas stimmte mit dem Query nicht: '.$db->error);
}
while ($row = $result->fetch_assoc()) { // NULL ist äquivalent zu false
// $row ist nun das Array mit den Werten
$rate = $row['rating'] / $row['multiplier'];
$rate2 = round($rate,1);
$mode = 'bla';
if(isset($row['type_dm'],$row['type_tdm'], $row['type_ctd'], $row['type_upr'])){$mode = 'Alle';}
else{
$mode = 'dm';
if(isset($row['type_tdm'])){$mode .= '/tdm';};
if(isset($row['type_ctd'])){$mode .= '/ctd';};
if(isset($row['type_upr'])){$mode .= '/upr';};
}
echo '<tr><td><a href="./map.php?ID='.$row['ID'].'">'.$row['name'].'</td><td>'.$row['uploader'].'</td><td>'.$rate2.'</td><td>'.$row['players'].'</td><td>'.$mode.'</td></tr>';
}?>
<?php }?>
</table>
<BR />
<?php
$result = mysql_query("SELECT ID FROM maps");
$menge = mysql_num_rows($result);
//Errechnen wieviele Seiten es geben wird
$wieviel_seiten = $menge / $eintraege_pro_seite;
//Ausgabe der Seitenlinks:
echo "<div align=\"center\">";
echo "<b>Seite:</b> ";
echo 1;
//Ausgabe der Links zu den Seiten
for($a=0; $a < $wieviel_seiten; $a++)
{
$b = $a + 1;
//Wenn der User sich auf dieser Seite befindet, keinen Link ausgeben
if($seite == $b)
{
echo " <b>$b</b> ";
}
//Aus dieser Seite ist der User nicht, also einen Link ausgeben
else
{
echo " <a href=\"?seite=$b\">$b</a> ";
}
}
echo "</div>";
?>

Alles anzeigen

Hier in vollständig.
Mit SQL-Injection befass ich mich in Kürze, erst muss ich die Basics können.
(Natürlich kann man sagen, das gehört zu den Basics, aber erstmal mach ichs jetz mal so - modifiziert wird die Site eh mit der Zeit noch werden)

Broken Sword · 18. November 2009, 14:48

Setze mal

Quellcode

error_reporting(E_ALL);

am Anfang.
btw, warum arbeitest du unten auf einmal mit mysql, wenn du doch oben mit mysqli gearbeitet hast?

Ach und gibt es denn überhaupt irgendeine Ausgabe?

Taxel · 18. November 2009, 20:49

nein, es gibt keinerlei Ausgabe

Killjoy · 12. Dezember 2009, 14:34

Nicht getestet, sollte aber funktionieren.

PHP-Quellcode

<?php
/**
* Welche Seite soll angezeigt werden? Überprüfung ob auch ein nummerischer Wert
* übergeben wurde (SQL Injection). Wurde kein Wert übergeben, oder kein nummerischer
* befindet sich der Benutzer automatisch auf Seite 1.
*/
if (isset($_GET['seite']) && is_int($_GET['seite'])) {
$seite = $_GET['seite'];
}
else {
$seite = 1;
}
$eintraege_pro_seite = 60;
/**
* Berechnung der Spalte welche zuerst ausgegeben werden soll.
*
* @var int
*/
$start = $seite * $eintraege_pro_seite - $eintraege_pro_seite;
/**
*
*/
if (!isset($_POST['action']) || empty($_POST['action']) || $_POST['action'] != 'Suchen') {
echo '<h1>Suche</h1>';
echo '<form action="suche.php" method="post">';
echo '<p><input name="name" type="text" value="Mapname" maxlength="30" />';
echo '<input name="uploader" type="text" value="Autor" maxlength="30" /></p>';
echo '<h2>Spieler:</h2>';
echo '<p><select name="players">';
echo '<option value="4-8">4-8</option>';
echo '<option value="8-12">8-12</option>';
echo '<option value="12-16">12-16</option>';
echo '</select></p>';
echo '<h2>Spielmodi:</h2>';
echo '<p><input id="dm" name="dm" type="checkbox" value="dm" checked="checked" /> <label for="dm">dm</label>';
echo '<input id="tdm" name="tdm" type="checkbox" value="tdm" checked="checked" /> <label for="tdm">tdm</label>';
echo '<input id="ctd" name="ctd" type="checkbox" vlaue="ctd" checked="checked" /> <label for="ctd">ctd</label>';
echo '<input id="upr" name="upr" type="checkbox" value="upr" checked="checked" /> <label for="upr">upr</label></p>';
echo '<p><input name="action" type="submit" value="Suchen" /></p>';
echo '</form>';
}
else {
$sql_where = sql_prepare( 'name', $_POST['name'], $sql_where );
$sql_where = sql_preprae( 'uploader', $_POST['uploader'], $sql_where );
$sql_where = sql_prepare( 'players', $_POST['players'], $sql_where );
$sql_where = sql_prepare( 'dm', $_POST['dm'], $sql_where );
$sql_where = sql_prepare( 'tdm', $_POST['tdm'], $sql_where );
$sql_where = sql_prepare( 'ctd', $_POST['ctd'], $sql_where );
$sql_where = sql_prepare( 'upr', $_POST['upr'], $sql_where );
$db = db_connect();
if (is_resource($db)) {
$result = $db->query("SELECT * FROM maps WHERE $sql_where LIMIT $start, $eintraege_pro_seite");
$db->close();
echo '<h1>Ergebnisse:</h1>';
echo '<table cellpadding="2" cellspacing="0" style="width:600px;border:1px solid #963">';
echo '<tr>';
echo '<th>Name</th>';
echo '<th>Autor</th>';
echo '<th>Bewertung</th>';
echo '<th>Spieler</th>';
echo '<th>Modi</th>';
echo '</tr>';
while ($row = $result->fetch_assoc()) {
$rate = $row['rating'] / $row['multiplier'];
$rate2 = round($rate, 1);
$mode = 'bla';
if (isset($row['type_dm'], $row['type_tdm'], $row['type_ctd'], $row['type_upr'])) {
$mode = 'Alle';
}
else {
$mode = 'dm';
if (isset($row['type_tdm'])) {
$mode .= '/tdm';
}
if (isset($row['type_ctd'])) {
$mode .= '/ctd';
}
if (isset($row['type_upr'])) {
$mode .= '/upr';
}
}
echo '<tr>';
echo '<td><a href="./map.php?ID='.$row['ID'].'">'.$row['name'].'</a></td>';
echo '<td>'.$row['uploader'].'</td>';
echo '<td>'.$rate2.'</td>';
echo '<td>'.$row['players'].'</td>';
echo '<td>'.$mode.'</td>';
echo '</tr>';
}
echo '</table>';
}
else {
echo '<p>Etwas stimmte mit der Datenbankabfrage nicht.</p>');
}
}
$db = db_connect();
$result = $db->query("SELECT ID FROM maps");
$db->close();
$menge = mysql_num_rows($result);
// Errechnen wieviele Seiten es geben wird
$wieviel_seiten = $menge / $eintraege_pro_seite;
// Ausgabe der Seitenlinks:
echo '<div style="text-align:center">';
echo '<b>Seite:</b> ';
echo 1;
// Ausgabe der Links zu den Seiten
for ($a = 0; $a < $wieviel_seiten; $a++) {
$b = $a + 1;
// Wenn der User sich auf dieser Seite befindet, keinen Link ausgeben
if ($seite == $b) {
echo " <b>$b</b> ";
}
// Auf dieser Seite ist der User nicht, also einen Link ausgeben
else {
echo " <a href=\"?seite=$b\">$b</a> ";
}
}
echo '</div>';
/*****************************************************************************/
/**
* Verbindung zur Datenbank erstellen.
*/
function db_connect() {
$return = @new mysqli('localhost', 'my_user', 'my_password', 'my_db');
if (mysqli_connect_error()) {
die('Konnte keine Verbindung zur Datenbank aufbauen: '.mysqli_connect_error().' ('.mysqli_connect_errno().')');
}
else {
return $return;
}
}
/**
* Gegebenen String aufbereiten um ihn an unsere Datenbank zu übergen.
*
* @param string $name
* @param string $string
* @param string $sql
* @return string
*/
function sql_prepare($name, $string = '', $sql = '') {
if (isset($string) && !empty($string)) {
$string = addslashes(strip_tags($string));
if (!empty($sql)) {
$sql .= ' AND';
}
$sql .= " $name = \"$string\"";
return $sql;
}
else {
return;
}
}
?>

Alles anzeigen

Broken Sword · 2. Januar 2010, 12:30

Keine Reaktion vom Threadstarter => Closed
Wenn doch mal zurück, PN an mich!

Gruß
Broken Sword

PHP-Quellcode

PHP-Quellcode

Quellcode

PHP-Quellcode

Teilen