• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

Ist der Code so gut? (Verbesserungsvorschläge)

Cyperfriend

Der ohne Avatar

C
Registriert
14 Juli 2013
Beiträge
1.123
Ich habe folgenden Code um aus einem Formular Daten in eine Datenbank einzutragen. Der Code funktioniert schonmal, aber ist er auch gut und wie könnte er besser aussehen?
[src=php]$con = db_connect();

try
{
$insert = $con->prepare("INSERT INTO db_benutzer(benutzername, password, email) VALUES (:benutzername, :password, :email)");
$insert->execute(array('benutzername' => $_POST['benutzername'], 'password' => $_POST['password'], 'email' => $_POST['email']));
}
catch(PDOException $e)
{
echo "Fehler";
}
[/src]

Bei der Exception hätte ich gerne noch eine saubere Fehlermeldung. Irgendwie klappt das noch nicht. Ich muss aber auch gestehen, dass ich mit PDO noch ziemlich am Kämpfen bin, da ich es noch nicht wirklich kapiert habe. Nehme mir halt Tutorials zur Hilfe und versuche das dann irgendwie zusammen zu frickeln.
 

Local

Neu angemeldet

L
Registriert
21 Juli 2013
Beiträge
18
Würde die Infos wie mail, pw etc verschlüsseln und verstecken.
 

virtus

Gehasst

V
Registriert
24 Apr. 2015
Beiträge
1.689
Ort
AUF DEM MOND
Man sollte keine Klartextpasswörter speichern. Du könntest die Passwörter hashen.
Außerdem prüfst du nicht auf duplicates, oder?
 

theSplit

1998
Veteran Barkeeper

theSplit
Registriert
3 Aug. 2014
Beiträge
28.573
Und MySQLi "Escaping" verwenden?
http://php.net/manual/de/mysqli.real-escape-string.php

Damit der Inhalt, was in dem Post steht nicht ein Befehl oder ähnliches sein kann bzw. sicher gemacht wird.

Ich glaube nämlich nicht das "prepare" da irgendwas an den Daten macht, damit diese sicher sind in irgendeiner Form, damit wird ja nur das Statement vorbereitet...
 

Cyperfriend

Der ohne Avatar

C
Registriert
14 Juli 2013
Beiträge
1.123
  • Thread Starter Thread Starter
  • #5
Naja, angeblich braucht man bei PDO den real_escape_string nicht mehr.
Ich mache atm. keine Prüfung, da es mir nur um die eigentliche Insert-Funktion und deren Sicherheit geht. Gerne lasse ich mir erklären, wie ich Dinge wie Passwörter und / oder E-Mailadressen verstecken kann. Wie ich einen Hash und einen Salt mache weis ich. Ich würde dann am Ende des Threads, wenn alles gelöst scheint das komplette Script posten. Ich schreibe halt gerade eines um, dass noch auf mysql(ohne i) basiert und wills halt gleich richtig machen. Daher auch der Umstieg auf PDO.
 
Zuletzt bearbeitet:

theSplit

1998
Veteran Barkeeper

theSplit
Registriert
3 Aug. 2014
Beiträge
28.573
Ah okay... das wusste ich nicht. Bin gerade darüber gestolpert:
http://php.net/manual/en/pdo.prepare.php

Calling PDO::prepare() and PDOStatement::execute() for statements that will be issued multiple times with different parameter values optimizes the performance of your application by allowing the driver to negotiate client and/or server side caching of the query plan and meta information, and helps to prevent SQL injection attacks by eliminating the need to manually quote the parameters.
Zum Vergrößern anklicken....

Wobei aber auch:
https://stackoverflow.com/questions/1314521/how-safe-are-pdo-prepared-statements
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben