Requête MySQL à l'aide de paramètres d'url en PHP

Tout d'abord c'est la première fois que j'essaie de PHP..

voici le code :

<?php
if (isset($_GET['name']) && isset($_GET['password']) 
$uname = $_GET['name'];
$pass = $_GET['password'];
$conn = mysql_connect("localhost","DBusername","DBpassword");
mysql_select_db("DBname",$conn);
$result = mysql_query("SELECT * FROM table WHERE username=$uname and password =$password");
$row  = mysql_fetch_array($result);
if(is_array($row)) {
$ip = $row[ip];
 echo $ip ;
}else {
echo = "Invalid Username or Password!";
}
?>

Quand j'essaie ce lien : http://www.mywebsite.com/page.php?name=user&mot de passe=monmotdepasse

C'est une page Masquée, je l'utilise pour obtenir mes membres enregistrés l'adresse IP, lorsqu'un utilisateur
essaie de connexion dans mon application Windows Form qui est écrit en C#

toujours une page blanche ..

merci d'avance

  • l'analyse db nom d'utilisateur et le mot de passe dans l'url est du suicide
  • activer la journalisation des erreurs? plusieurs erreurs de syntaxe et les mauvaises pratiques
  • Remarque: Vous pouvez utiliser isset($_GET['name'], $_GET['password']) au lieu de nettoyer les choses.
InformationsquelleAutor Dr.Vision | 2014-03-24
  1. 5

    Surround vos variables avec des guillemets simples et ajouter un die(mysql_error()); à la fin, comme illustré.

    $result = mysql_query("SELECT * FROM `dvtmembers` WHERE username='$uname' and password ='$pass'") or die(mysql_error());

    Avertissement : Votre code est ouvert à l'attaque par Injection SQL.

    Autres Grandes Erreurs.

    • Il devrait être $uname pas $uanme
    • Vous avez manqué une parenthèse après la isset construire
    • Vous faire une mission à l' echo déclaration.

    Code Modifié

    <?php
ini_set('display_startup_errors',1);
ini_set('display_errors',1);
error_reporting(-1);

if (isset($_GET['name']) && isset($_GET['password']))
{
$conn = mysql_connect("localhost","DBusername","DBpassword");
mysql_select_db("DBname",$conn);
$uname = mysql_real_escape_string($_GET['name']);
$pass = mysql_real_escape_string($_GET['password']);
$result = mysql_query("SELECT * FROM table WHERE username='$uname' and password ='$pass'") or die(mysql_error());
$row  = mysql_fetch_array($result);
if(is_array($row)) {
    $ip = $row['ip'];
    echo $ip ;
}else {
    echo "Invalid Username or Password!";
}
}
else { echo "Name and Password was not passed !";}
?>

    Ce(mysql_*) extension est obsolète depuis la PHP 5.5.0, et sera supprimée dans le futur. Au lieu de cela, le MySQLi ou PDO_MySQL extension doit être utilisée. Commutation de PreparedStatements est encore plus mieux pour conjurer les attaques par Injection SQL !

    • déjà essayé, toujours rien 🙁
    • Avez-vous enabled error reporting ?
    • je suis sur GoDaddy d'hébergement..
    • pouvez-vous essayer le code que j'ai collé ?
    • toujours la page blanche, après que j'ai fait de l'ajouter ..
    • Enfin Travaillé, mais toujours non Valide "nom d'utilisateur ou Mot de passe!" mais je tapez le nom et le pass correcte..
    • Bon. Avez-vous ajouté des guillemets simples autour, comme indiqué dans le code sur le SELECT requête ?
    • je l'ai copier et coller, la modification de la base de données et d'informations relatives à la connexion ..
    • et fixe (et password ='$password') (et mot de passe ='$pass')
    • Ainsi fait-il ?
    • Warning: mysql_real_escape_string(): Accès refusé pour l'utilisateur 'myrootnme'@'localhost' (using password: NO) in /home/myrootnme/public_html/mypage.php sur la ligne 8 Warning: mysql_real_escape_string(): Un lien vers le serveur n'a pas pu être créé dans /home/myrootnme/public_html/mypage.php sur la ligne 8 Warning: mysql_real_escape_string(): Accès refusé pour l'utilisateur 'myrootnme'@'localhost' (using password: NO) in /home/myrootnme/public_html/mypage.php sur la ligne 9 Warning: mysql_real_escape_string(): Un lien vers le serveur n'a pas pu être créé dans /home/myrootnme/public_html/mypage.php sur la ligne 9
    • on dirait qu'il ya un problème avec le mysql_real_escape_string Expression !!
    • Désolé que deux lignes devraient être en dessous de la connexion db. Voir mon code modifié.

    InformationsquelleAutor Shankar Damodaran
  2. 2

    utilisez des guillemets simples dans $row['ip'] et variables. Votre requête est vulnérable ( SQl Injection) afin de mieux utiliser mysql_real_escape_string() pour les paramètres tels que le nom , le mot de passe. 

       <?php
echo "<br/> Outside loop"; 

   if (isset($_GET['name']) && isset($_GET['password']) {
echo "<br/> Inside if loop"; 

    $uname =  mysql_real_escape_string($_GET['name']);
    $pass =  mysql_real_escape_string($_GET['password']);
    $conn = mysql_connect("localhost","DBusername","DBpassword");

if($conn == false ){ echo "Database not connected. DB error. " ; } 
echo "<br/> after connection "; 

    mysql_select_db("Tablename",$conn);
echo "<br/> after db selection"; 

    $result = mysql_query("SELECT * FROM dvtmembers WHERE username= '$uname' and password = '$pass' ") or die(mysql_error());
    $row  = mysql_fetch_array($result);
    if(mysql_num_rows($result) > 0) {
    $ip = $row['ip'];
     echo $ip ;
echo "<br/>final If loop"; 

    }else {
echo "<Br/> final else loop"; 

    echo = "Invalid Username or Password!";
    }
}
else { 

echo "Parameters are not passed" ; 
} 
    ?>
    • toujours rien ..
    • utilisez ce code mis à jour ci-dessus . et dites-moi quelle est la sortie ?
    • Toujours Rien 🙁 !!
    InformationsquelleAutor Ananth