[gelöst] [SQL] Update-Syntax treibt mich in den Wahnsinn

[Cyperfriend]

Ich bin gerade dabei in meinem Login-Script die Funktion einzubauen, dass nach fünf Fehlversuchen der Account gesperrt wird. Dazu will ich einen Zähler hochzählen lassen und habe entsprechend alles gemacht.

Die Update-Syntax treibt mich aber seit zwei Tagen in den Wahnsinn, weil ich immer die Meldung bekomme:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'check=check+1 where benutzername='Cyperfriend'' at line 1

Ich habe das Script mehrfach umgeschrieben. Habe Variablen eingebaut, feste Werte eingegeben - alles, aber der Fehler ist immer gleich.
Habe auch schon in der Datenbank geguckt und die Spalte neu angelegt, sogar auf TEXT habe ich sie gestellt und eine 0 manuell eingegeben (damit es was zum hochzählen gibt) Nutzt alles nichts.

Bitte sagt mir, was ich hier seit Tagen übersehe?
Hier der Codeausschnitt:

$db_write = "update db_benutzer set check=check+1 where benutzername='".mysql_real_escape_string($_POST['benutzername'])."'";
mysql_query($db_write, $db_connect) or die (mysql_error());

 

[drfuture]

Re: [SQL] Update-Syntax treibt mich in den Wahnsinn

das Feld Check sollte vom Typ int / bigint sein

$db_write = "update db_benutzer set check = check + 1 where benutzername='".mysql_real_escape_string($_POST['benutzername'])."'"; 
mysql_query($db_write, $db_connect) or die (mysql_error());

und leerzeichen zwischen das feld und + 1

und evtl. ist "check" ein reserviertes Wort in mysql - benenn das Feld mal in count_check oder so um

 

[sars]

Re: [SQL] Update-Syntax treibt mich in den Wahnsinn

Das liegt an dem TabellennameN check – Wie drfuture schon angedeutet hat, handelt es sich hierbei um ein reserviertes Word in MySQL, siehe auch:
http://dev.mysql.com/doc/mysqld-version-reference/en/mysqld-version-reference-reservedwords-5-0.html

 

[Cyperfriend]

Re: [SQL] Update-Syntax treibt mich in den Wahnsinn

Argh ...
Ich hatte "check" extra noch in Dreamweaver (MX 2004) eingegeben und da wurde es nicht als Schlüsselwort markiert.

 

[Kugelfisch]

Re: [SQL] Update-Syntax treibt mich in den Wahnsinn

Um solche Probleme zu vermeiden, empfiehlt es sich, Bezeichner im Zweifelsfall generell in Backticks (`) zu setzen. Dadurch werden eventuelle reservierte Wörter entwertet - z.B.

`check`=`check` + 1

Beachte auch, dass solch eine Sperre leicht für DoS-Angriffe auf ein bestimmtes Benutzerkonto missbraucht werden kann, indem ein Angreifer gezielt Fehlversuche produziert. Meines Erachtens wäre ein CAPTCHA nach einer bestimmten Anzahl von Fehlversuchen oder auch ein komplette Verzicht auf die Sperre (da sie bei zumindest halbwegs starken Passwörtern wenig hilft) die bessere Wahl.

 

[Cyperfriend]

Re: [SQL] Update-Syntax treibt mich in den Wahnsinn

OK, dann lass ich es ganz weg. Diesen Dreck mit Captcha fange ich gar nicht erst an.
Aber was DoS angeht: Kann man das nicht auch so in dem man sinnfrei auf ein Userkonto eindrischt? Wo ist der Unterschied wenn die Datenbank ständig zurückmeldet "Passwort stimmt nicht" oder "Benutzer ist gesperrt"?

 

[Kugelfisch]

Re: [SQL] Update-Syntax treibt mich in den Wahnsinn

Das Problem ist nicht ein möglicher DoS-Angriff auf deine Website, sondern auf das konkrete Benutzerkonto. Daher habe ich diese Funktion z.B. auch im ngb deaktiviert. Wenn zum Beispiel jemand verhindern möchte, dass ich mich einloggen kann, könnte er automatisiert dauerhaft fehlerhafte Login-Versuche für das Kugelfisch-Benutzerkonto erzeugen. Nach 5 fehlerhaften Versuchen wird das Benutzerkonto für 15 Minuten (für alle, auch für den tatsächlichen Inhaber) für weitere Login-Versuche gesperrt. Nach Ablauf der 15 Minuten führen 5 weitere gezielt fehlerhafte Login-Versuche sofort zu einer weiteren Sperre für weitere 15 Minuten, u.s.w.

 

[accC]

Re: [SQL] Update-Syntax treibt mich in den Wahnsinn

INC(check) sollte auch funktionieren.. Ich glaube der Befehl heißt INC, bin mir aber gerade nicht sicher..