MySQLi-Abfrage

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • MySQLi-Abfrage

    Guten Morgen,

    ich bin gerade dabei, eine Rangliste in PHP / MySQL zu programmieren.
    Die Rangliste war nicht weiter schwer, jetzt wollte ich aber noch eine Suchfunktion hinzufügen und komme mit der MySQLi-Abfrage nicht weiter, bzw. weiß nicht was ich falsch gemacht habe.
    Hier erstmal der Code der Abfrage:
    PHP Code:
    $ranglistesuche mysqli_query ($db"SELECT name, ehre, level, gildenname
            FROM
            (
                SELECT name, ehre, level, gildenname, @num := @num +1 AS rang
                FROM
                (
                    SELECT name, ehre, level, gildenname, @num :=0
                    FROM user ORDER BY ehre DESC, level DESC
                ) AS t1
            ) AS t2
            WHERE name LIKE 
    $charsuche LIMIT 1");
            
    $getRang mysqli_fetch_assoc($ranglistesuche);
            
    $aktseite ceil($getRang["rang"] / $maxanz); 
    Zur Erklärung:
    $aktseite = die Seite der Rangliste, welche ausgegeben werden soll.
    $maxanz = maximale Einträge pro Seite.

    $charsuche = falls $_POST["char"] wirklich ein Spielername ist, wird dieser in $charsuche gespeichert, also ist das der eingegebene Spielername in dem Suchformular.
    $charsuche liefert auch immer das richtige Ergebnis, also den eingegebenen Spielernamen, falls dieser vorhanden.

    $getRang["rang"] wäre aus der Abfrage eben der Wert "rang", aber den bekomme ich nicht raus, also wenn ich mir den Wert mit echo $getRang["rang"]; ausgeben lasse, wird auch nichts angezeigt.
    Von der Zeichensetzung müsste die Abfrage auch richtig sein, da meine Seite ganz normal ausgeführt wird, auch wenn ich die Abfrage aufrufe...
    $getRang["..."], da liefern alle Werte nichts zurück, also bei der echo-Ausgabe. z.B. $getRang["name"] $getRang["level"] usw... Also funktioniert wohl die komplette Abfrage nicht, ich weiß aber leider nicht was falsch ist... hab das ganze auch schon mit error-reporting und firebug untersucht, aber nichts wird ausgegeben...

    Also die Abfrage oben habe ich mir aus einer normalen MySQL-Abfrage zusammengebaut und da ich MySQLi verwende, weiß ich jetzt eben nicht, was ich genau zu beachten habe, bzw. was da überhaupt falsch ist...

    Wenn mir einer helfen könnte, wäre das sehr nett.

    Liebe Grüße.
    Last edited by ImmerOn; 03-10-2012, 10:40.

  • #2
    Dein äußerer SELECT liefert keinen Rang!
    Warum sollte er dann auch im Ergebnis sein?

    Wenn möglich verzichte auf Subselects.
    Setze eher auf JOINs.
    Last edited by combie; 03-10-2012, 10:52.
    Wir werden alle sterben

    Comment


    • #3
      Hi,

      das mit dem äußeren SELECT funktioniert aber so, zumindest bei der MySQL-Abfrage...
      Bei meiner MySQLi-Abfrage wird ja auch kein $getRang["name"] ausgegeben und der Name ist aber im äußeren SELECT. Also stimmt da anscheinend schon was nicht.

      Vielleicht gibts ja auch einfachere Möglichkeiten für die Suchfunktion.
      Also in der Rangliste wird jedem Spieler ein Rang zugeteilt, sortiert über ehre und level. Für die Suchfunktion brauche ich nur den Rang für einen bestimmten Spieler, aber wie ich da drann komme weiß ich bis jetzt leider noch nicht. Der Rang ist ja nicht in einer Datenbank gespeichert, sondern wird während der SQL-Abfrage zugewießen.

      Liebe Grüße.

      ps: könntest du das mit den JOINs etwas genauer erklären?

      Comment


      • #4
        Error-Reporting angestellt?

        PHP Code:
        error_reporting(-1);
        ini_set('display_errors'1); 
        - Debuggen - PHP Forum: phpforum.de (müsste mal auf mysqli umgeändert werden)

        Im äußersten SELECT wählst du rang nicht mit aus:

        Code:
         $ranglistesuche = mysqli_query ($db, "SELECT name, ehre, level, gildenname
        Hier fehlen Anführungszeichen um $charname und vermutlich Escaping:

        Code:
                WHERE name LIKE $charsuche LIMIT 1");
        Joins:

        - Coding Horror: A Visual Explanation of SQL Joins
        - Relationale Datenbanken - Kapitel 7

        Speziell zu deinem Problem:

        - Common MySQL Queries

        (Das ist eine tolle Seite, aber man muss sich durchbeißen.)

        Comment


        • #5
          Hi,

          error-reporting schon gemacht,
          die Anführungszeichen bei $charsuche sind nicht notwendig, zumindest habe ich das bei keiner meiner Abfragen und dort werden die Variablen trotzdem richtig erkannt und alles funktioniert.

          Erstmal danke für die Links, werde mich da jetzt durcharbeiten.

          Falls jmd. eine bessere Lösung hat, hier nochmal eine genaue Beschreibung wie das funktionieren muss:
          Es soll abgefragt werden, wie viele Einträge in der Tabelle user sind und dann jedem Eintrag ein Rang - sortiert nach Ehre und Level - zugeteilt werden. Dann soll ein bestimmter Eintrag ausgesucht werden und dessen Rang aber ausgegeben werden. Wie das jetzt zusammen funktioniert, keine Ahnung, das oben war eben ein Versuch dafür, in einer anderen Rangliste funktioniert es so, aber mit MySQL und nicht MySQLi und ich will jetzt nicht unbedingt für die eine Abfrage ein MySQL-Connect machen (wenn das ohne Einbußen geht, dann werd ichs wohl über MySQL machen).

          Liebe Grüße.

          Comment


          • #6
            die Anführungszeichen bei $charsuche sind nicht notwendig, zumindest habe ich das bei keiner meiner Abfragen und dort werden die Variablen trotzdem richtig erkannt und alles funktioniert.
            Ich werde jetzt nicht versuchen, dich argumentativ von der Notwendigkeit korrekter Syntax zu überzeugen.

            Comment


            • #7
              Ich sehe da auch keinen Unterschied zwischen der MySQL ind MySQLi Erweiterung. Das SQL Statement wird SO WIE ES IST zum MySQL Server gesendet.

              Also muss beides mal das gleiche dabei raus kommen.
              Wir werden alle sterben

              Comment


              • #8
                @mermshaus:
                Wenns ohne funktioniert wie mit und keine Fehler ausgegeben werden?
                Oder wird hier die Funktionalität verändert / eingeschränkt? Ich kenn mich da nicht wirklich aus, ich sehe halt nur was funktioniert und was nicht...

                Liebe Grüße.

                Comment


                • #9
                  ich sehe halt nur was funktioniert und was nicht...
                  Strings gehören in Anführungszeichen!
                  Das ist (My)SQL Grundlagenwissen.


                  WHERE name LIKE Willi <-- tuts Dank einer Gnade des MySQL Parsers, andere DBMS hauen dir das um die Ohren
                  WHERE name LIKE Hans Peter <-- Da knallts
                  WHERE name LIKE 'Hans Peter' <-- Tuts auch unter Wasser und auf dem Mond

                  Mache dich mit SQL Injections vertraut.
                  Denn für diese hält dein Script Tür und Tor weit offen!
                  Last edited by combie; 03-10-2012, 13:52.
                  Wir werden alle sterben

                  Comment


                  • #10
                    Hi,

                    ok danke, aber gegen MySQL-Injections ist mein Script zu 100% sicher, also 1. werden bei mir alle Form-Eingaben auf Länge und Inhalt überprüft und 2. verwende ich bei den MySQL Abfragen Prepared-Statements, ein Moderator hier hat gesagt, die Prepared-Statements sind zu 100% sicher gg MySQL-Injection, weil die Abfrage ja erst Platzhalter verwendet und die Variablen im nachhinein definiert werden...

                    LG

                    Comment


                    • #11
                      Originally posted by ImmerOn View Post
                      Hi,

                      ok danke, aber gegen MySQL-Injections ist mein Script zu 100% sicher, also 1. werden bei mir alle Form-Eingaben auf Länge und Inhalt überprüft und 2. verwende ich bei den MySQL Abfragen Prepared-Statements, ein Moderator hier hat gesagt, die Prepared-Statements sind zu 100% sicher gg MySQL-Injection, weil die Abfrage ja erst Platzhalter verwendet und die Variablen im nachhinein definiert werden...

                      LG
                      Damit hat er recht!

                      Aber du zeigst dann Fantasiecode!
                      Denn hier
                      PHP Code:
                      $ranglistesuche mysqli_query ($db"SELECT ..... 
                      ist nix mit Prepared Statements.

                      Und drittens, ändert das nichts an den Anführungszeichen.
                      Wir werden alle sterben

                      Comment


                      • #12
                        Hi,

                        die Rangliste ist die einzigste Funktion ohne Prepared-Statements, bzw. ist dort der einzigste Formular-Wert $_POST["char"] und der wird über ein Prepared-Statement mit der Datenbank verglichen und wenn dieser existiert in der Datenbank, wird er als $charsuche gespeichert. Also 100% sicher gegen SQL-Injection.

                        Was ist jetzt genau anders ohne Anführungszeichen? Schränkt das die Funktionalität ein oder ist das eine Sicherheitslücke oder ist es mit Anführungszeichen einfach standardisiert?

                        Liebe Grüße.

                        ps: Hat sich erledigt, hatte das "rang" im ersten SELECT überlesen, Danke @ combie.

                        [COLOR=#000000][COLOR=#CC0000][COLOR=#000000][COLOR=#CC0000] [/COLOR][/COLOR][/COLOR][/COLOR]
                        Last edited by ImmerOn; 03-10-2012, 15:39.

                        Comment


                        • #13
                          Ich empfehle dir lieber mal, in möglichst kurzen Intervallen Backups zu machen und ja keine sensiblen Daten zu speichern.
                          Last edited by mermshaus; 03-10-2012, 16:48.

                          Comment


                          • #14
                            Hi,

                            hat diese Empfehlung einen bestimmten Grund, oder einfach nur so?
                            Auf meine Website habe momentan eh nur ich Zugriff, weil ich ja noch am Entwickeln bin. Sobald ich fertig bin, werden erstmal nur Bekannte und Freunde über einen Zeitraum von ca. 4 Wochen die Website testen, danach wird es eine open Beta geben.
                            Was meinst du mit sensiblen Daten?
                            Passwörter werden sowieso verschlüsselt gespeichert und sobald die open Beta stattfindet, wird die Website über ein SSL-Zertifikat laufen, also mit https://...
                            BackUps mache ich in der Entwicklungsphase sogar mehrmals täglich, da ja ziemlich viel verändert wird und falls mal was ist, will ich nicht nochmal von vorne anfangen

                            Siehst du irgendwelche Sicherheitslücken in meinem Programmierstil?
                            Wenn ja wäre es nett, wenn du mir die nennen könntest

                            Liebe Grüße.

                            Comment


                            • #15
                              Siehst du irgendwelche Sicherheitslücken in meinem Programmierstil?
                              Wenn ja wäre es nett, wenn du mir die nennen könntest
                              Du willst mich trollen, oder? Ich bin raus hier.

                              Comment

                              Working...
                              X