Hallo Mazte,

wie kann ich eine solche Filterung vornehmen?
reicht es für die felder ein String zu nehmen, welcher Zeichen sollte ich auf jeden Fall ausschließen ?

Wie nennt man solche Attacken?

Das mit dem & hat so schon mal funktioniert, aber wie auch immer ..
wie sollte ich es dann schreiben ? and ist das gleiche oder..?

mbg yo

hallo,

ja stimmt das doppelte gibts da ja noch, hat so aber leider auch nicht geklappt...

danke trotzdem...

mbg yo

echo $begrüßung;

Gib dem Submitbutton lieber einen Namen und frag den ab.

Das bringt es nicht. Der Submit-Button muss zum Absenden nicht verwendet werden, z.B. dann, wenn das Formular mit Enter abgesendet wird. Der IE erkennt dann den Submit-Button nicht als aktiviert an und sendet nichts mit. Wenn du nun den Submit-Button befragst, sieht das Formular wie ungesendet aus.

Dann kannst du prüfen ob die Felder leer sind und z.B. nur Buchstaben und vielleicht noch Leerzeichen enthalten.

Die Prüfungen sollten aus logischer Sicht der Anwendung erfolgen. Dabei wären solche Fragen zu klären: Welche Felder müssen Werte enthalten? Wie müssen diese Werte aussehen (gültiger Zahlenwert, gültiges Datum, usw.)?

Dann noch die Umlaute mit htmlentities o.ä. umwandeln und du hast nichts zu befürchten.

Das ist nicht sinnvoll. Umlaute sind zum einen unschuldig, zum anderen haben solche HTML-spezifischen Notationen in einer Datenbank nichts zu suchen. Daten sollen immer erst dann in ein kontextspezifisches Format gebracht werden, wenn du sie in den jeweiligen Kontext bringst. Notierst du Bärbel als Bärbel in der Datenbank, fällst du beispielsweise bei Abfragen nach Namen kürzer als 7 Buchstaben auf die Nase.

htmlentities() soll erst zur Ausgabe in den HTML-Text verwendet werden, und dann reicht m Prinzip ein htmlspecialchars(), wenn man sich über die zu verwendende Zeichenkodierung seines Dokuments Gedanken gemacht hat.

(Zumindest kein Script-Injection)

SQL-Injection ist die Einschleusung von Befehlsbestandteilen über eine Dateneingabe. Daten werden aber erst dann zu Befehlsbestandteilen, wenn du den String verlässt, in dem die Daten eingefügt werden sollen. Dazu benötigst du das Zeichen ', welches du aber durch die Anwendung von htmlentities() unberührt lässt.

Für eine MySQL-gerechte Maskierung von Daten sorgt die Funktion mysql_real_escape_string().

Eventuell hast du aber auch einen Fehler bei der Verbindung zur DB.
Wird denn ein Fehler ausgegeben? Welcher?

Da wird vermutlich keiner ausgegeben oder nur ein PHP-Folgefehler. Denn es wurden, wie so oft von Anfängern, die Rückgabewerte der mysql_*-Funktionen ignoriert, die über einen Fehlerzustand informieren wollten. Der genaue Wortlaut der Fehlermeldung kann über die Funktion mysql_error() abgefragt werden.

echo "$verabschiedung $name";

Ich grüsse den Cosmos,

if ($_GET['Nachname'] & $_GET['Vorname']){

Du könntest mal diese Werte vor der Prüfung ausgeben lassen, welche Werte sie enthalten.

ok, dachte eigentlich das diese im Adressfenster angehängt werden bei get, konnte aber nichts sehen...

Ansonsten solltest du sowas mit isset() prüfen da sonst ein Notice erzeugt wird.

Wo kann ich diesen Notice ablesen

$teiln = mysql_query("insert into teiln (Nachname,Vorname) values
('".$_GET["Nachname"]."','".$_GET["Vorname"]."')",$connect);
}

Hier gehören die Werte noch auf Gültigkeit geprüft. Und dann reicht dir in deiner obigen Abfrage auch ein if(isset($_GET){}, um festzustellen, ob das Forumlar schon abgesendet wurde.

Kanns leider nicht finden, vielleicht fällt ja jemanden was auf...

Schonmal geprüft, ob die Verbindung zur Datenbank steht? Du musst Fehler besser abfangen, sonst quälst du dich beim Debugging unnötig.

»»

if($connect == true)
echo "db steht"; reicht das so

musste grad feststellen das nicht mal ein einfaches echo "halloeins";
im browser ausgegeben wird....???

Hab mit der Umgebung damals gut gearbeitet htmlkit komisch komisch...

mbg yo