Suchfunktion mit Mysql

[Roma87]

Guten Abend zusammen! Ich bin hier ganz neu im Forum und deswegen dürft ihr mir nicht übel nehmen, falls ich in das falschen Thema reinschreibe:

Habe eine Frage, die wahrscheinlich ganz simpel ist. Habe erst vor kurzem angefangen mit php, mysql usw. Habe mir viele tutorials reingezogen, hab es schon soweit verstanden wie es funzt, aaaaaaaaaber:

Habe heute einen Suchen-Script geschrieben, der so aussieht:


usersuche.php




<?php
session_start();
?>

<html>
<head>
</head>
<body>


<?php
$verbindung = mysql_connect("localhost", "root" , "password")
or die("Verbindung zur Datenbank konnte nicht hergestellt werden");
mysql_select_db("myDataBase") or die ("Datenbank konnte nicht ausgewählt werden");

$usersuche = $_GET["usersuche"];


$abfrage = "SELECT * FROM login WHERE username LIKE '%$usersuche%'";
$ergebnis = mysql_query($abfrage);
$row = mysql_fetch_array($ergebnis);

if (!$row) {
die ('Etwas stimmte mit dem Query nicht:');
}
else
{

?>

folgende User wurden gefunden: </p>
</p>

<?php

echo $row['username'];

}


?>
</body>
</html>



so nun meine Frage: Ich habe in der MYSQL-Datenbank dieselbe Tabelle durchsuchen lassen, die ich für das registrieren und login-script benutze. Könnte es ein Problem geben, wegen Sicherheitsgründen?

meine zweite Frage: Das Script oben klappt soweit, nur ich kriege immer nur einen Namen angezeigt, obwohl in meiner MYSQL-Datenbank zwei Namen vorhanden sind, die auf mein Suchkriterium passen.

Wie kann ich jetzt z. b. 100 Suchergebnisse anzeigen lassen? Als Beispiel: habe einen testuser mit dem namen fffff angelegt und einen mit fff. Wenn ich jetzt nach ff Suche, bekomme ich nur den fffff. Obwohl ich ja eigentlich fff und fffff angezeigt bekommen müsste.

Oh mei, ich hoffe, ich habe mich verständlich ausgedrückt.

Danke schonmal im Vorraus.

Roman

[chorn]

Du lässt dir ja auch nur eine einzige Zeile anzeigen, ich sehe nicht, dass du mehrere Zeilen haben willst oder auswertest.

Code:

$row = mysql_fetch_array($ergebnis);

Siehe Manual -> http://php.net/manual/de/function.mysql-fetch-array.php

Ausserdem ist deine Abfrage für SQL-Injection anfällig (einfach mal suchen, dazu gibt es tausend Tutorials). Ein einfaches

Code:

suche.php?usersuche=;DROP TABLE login

und die Tabelle mit den Logindaten ist weg.

[dieter99]

meine zweite Frage: Das Script oben klappt soweit, nur ich kriege immer nur einen Namen angezeigt, obwohl in meiner MYSQL-Datenbank zwei Namen vorhanden sind, die auf mein Suchkriterium passen.

Du musst bei der Ausgabe mit einer WHILE Schleife arbeiten:

PHP-Code:

<?php
$verbindung = mysql_connect("localhost", "root" , "password")
or die("Verbindung zur Datenbank konnte nicht hergestellt werden");
mysql_select_db("myDataBase") or die ("Datenbank konnte nicht ausgewählt werden");

$usersuche = $_GET["usersuche"];


$abfrage = "SELECT * FROM login WHERE username LIKE '%$usersuche%'";
$ergebnis = mysql_query($abfrage);


if (mysql_affected_rows() < 1) {
die ('Etwas stimmte mit dem Query nicht:');
}
else
{
echo 'folgende User wurden gefunden:<br />';

WHILE ($row = mysql_fetch_array($ergebnis))
{
   echo $row['username']; 
}

}


?>

[Roma87]

Herzlichen Dank für die Tipps! Ich wusste ich bin hier richtig aufgehoben, deswegen habe ich mich registriert.
ich hab das jetzt umgewandelt und so müsste es jetzt richtig sein, oder habe ich noch was wichtiges übersehen?







$abfrage = "SELECT * FROM login WHERE username LIKE '.mysql_real_escape_string(%$usersuche%).'";
$ergebnis = mysql_query($abfrage);

{
if (mysql_affected_rows() < 1) {
die ('Etwas stimmte mit dem Query nicht:');
}
else
{
echo 'folgende User wurden gefunden:<br />';

WHILE ($row = mysql_fetch_array($ergebnis))
{
echo $row['username'];
}

[Roma87]

Ne, so muss er sein!

Aber der zeigt mir dauernd an, dass keine Suchergebnisse gefunden worden sind, obwohl 2 Namen auf meine Suchanfrage passen müssten. Hat da jemand eine Ahnung wieso das so ist?

PHP-Code:

$usersuche = $_GET["usersuche"]; 


$abfrage = "INSERT * FROM login WHERE username LIKE %'".mysql_real_escape_string($usersuche)."'%";
$ergebnis = mysql_query($abfrage); 



if (mysql_affected_rows($verbindung) < 1) {
die ('Es konnten keine Suchergebnisse gefunden werden');
}
else
{
echo 'folgende User wurden gefunden:<br />';
}
WHILE ($row = mysql_fetch_array($ergebnis))
{
   echo $row['username']; 
}
?> 


[Frangulus]

Ohne Zähler zeigst Du doch immer das gleiche Feld im Array an.
So sollte es gehen:

PHP-Code:

$i = 0;
WHILE ($row[i] = mysql_fetch_array($ergebnis))
{
   echo $row[i]['username']; 
   $i++;
} 


[Roma87]

Mein Fehler liegt eindeutig bei dieser Zeile aber wieso?

$abfrage = "INSERT * FROM login WHERE username LIKE %'".mysql_real_escape_string($usersuche)."'%"


Habe mysqlerror auslesen lassen

[chorn]

Weil dein String nicht in Anführungszeichen steht, die %-Zeichen müssen davon ebenfalls eingeschlossen werden, vgl.

Code:

'%dein Suchbegriff%'

[Roma87]

okay, danke für die Tipps....
der Fehler in Mysql ist weg, aber der bringt mir keine Userergebnisse:

der Script sieht jetzt wie folgt aus:

PHP-Code:

$usersuche = $_GET["usersuche"]; 

$abfrage = "Select username FROM login WHERE username LIKE '".mysql_real_escape_string('%$usersuche%')."'";
$ergebnis = mysql_query($abfrage); 

if (!$ergebnis) 
{
die ('Es konnten keine Suchergebnisse gefunden werden');
}
else
{
echo 'folgende User wurden gefunden:<br />';
}
$i = 0;
WHILE ($row[i] = mysql_fetch_array($ergebnis))
{
   echo $row[i]['username']; 
   $i++;
}
?> 


da steht jetzt nur folgende User wurden gefunden: aber danach zeigt er keine User an. Diese sind aber defenitiv in der Datenbank drin

[chorn]

Code:

$row[i]

i oder $i? Das ist hier die Frage.

Ich seh da übrigens nicht, dass du wissen willst, ob die Datenbank einen Fehler meldet (mysql_error()).

[Frangulus]

Hi, sorry

PHP-Code:

$i 


natürlich

[Roma87]

Code:

$row[i]

i oder $i? Das ist hier die Frage.

Ich seh da übrigens nicht, dass du wissen willst, ob die Datenbank einen Fehler meldet (mysql_error()).

Whuaaa sorry, natürlich $i.

Ne habe den mysql_error entfernt, da kein Fehler mehr da War. Der zeigt die mir jetzt beide an, nur direkt nebeneinander, aber das Krieg ich schon hin. Daaaaaaaaaanke

[max.m]

nur direkt nebeneinander

PHP-Code:

echo $row[$i]['username'] . "<br />"; 


[Roma87]

So der Code ist fertig und funktioniert auch!

Sicher ist der denk ich auch mal, oder?

PHP-Code:


$usersuche = $_GET["usersuche"]; 

$abfrage = "Select username FROM login WHERE username LIKE '%".mysql_real_escape_string($usersuche)."%'";
$ergebnis = mysql_query($abfrage); 

if (!$ergebnis) 
{
die ('Es konnten keine Suchergebnisse gefunden werden');
}
else
{
echo 'folgende User wurden gefunden:<br />';
}
$i = 0;
WHILE ($row[$i] = mysql_fetch_array($ergebnis))
{
   echo $row[$i]['username'] . "<br />";
   $i++;
}
?> 


[Roma87]

PHP-Code:

$abfrage = "SELECT username  FROM login WHERE username = '" . mysql_real_escape_string($empfaenger) . "'"; 
$ergebnis = mysql_query($abfrage);
$row = mysql_fetch_array($ergebnis); 
  

if(!$row)
    {
    echo "etwas stimmte mit der DB nicht";
    }
exit;




if($row['user'] != §empfaenger)
    { 
    echo "dieser Benutzername existiert nicht!";
    }
exit;
    

$eintrag = "INSERT INTO nachrichten
    ('nach', 'von', 'betreff', 'text', 'datum', 'zeit', 'read')
VALUES
    ('".$empfaenger."', '".$_SESSION("username")."', '".$betreff."', '".$text."' , '".$date."' , '".$time."' , '0');

if(!$eintrag)
    echo 'Fehler beim Senden';

else 
    $eintragen = mysql_query($eintrag) or die (mysql_error());


if($eintragen == true)
    {
    echo 'Deine Nachricht wurde erfolgreich an '.$empfaenger.' verschickt';
    }
else
    {
    echo 'Das Senden hat nicht geklappt';
    }
?> 


der zeigt mir bei diesem Code den Fehler:

syntax error, unexpected $end in .... on line 58

Habe schon alle Klammern etc. durchgeguckt, finde aber nix, wo ich eins vergessen habe.