Ajax/PHP/MySQL: Selecten aus DB

Surfer · 7. Dezember 2007, 15:47

Hallo Leute!

Ich bin neu hier und nach langen Suchen nach einer Lösung bin ich auf euren Forum gestossen.
Ich hoffe, ihr könnt mir weiter helfen. Mein Ziel ist es Ajax zu erlernen. Gewisse Vorkenntnisse in HTML, PHP und MySQL habe ich.
Bin jedoch kein Profi und mache das als Hobby.

Nun zu meinem Problem. Ich habe 3 Dateien: ajax.php, func.php und eine db-connect.php
Nun wollte ich mein 1.Beispiel-Script mit Ajax+PHP+MySQL selber coden, was nicht gleich einwandfrei klappt.

Es soll folgendes passieren: In einer DB habe ich eine Tabelle "ajax" mit 3 spalten angelegt (id, ja, nein).
In der Eingabemaske kann ich zwischen JA und NEIN wählen. Wenn ich JA auswähle, soll aus der Spalte "ja" aus der DB ein Text unter der Eingabemaske erscheinen.
Wenn ich NEIN auswähle, soll ein Text aus der Spalte "nein" unter der Eingabemaske erscheinen, ohne halt, dass sich die Seite neu lädt, also alles asynchron.

Folgendes habe ich bereits coden können........ajax.php:

HTML-Quellcode

<html><head>
<title>AJAX-Beispiel</title>
<script type="text/Javascript">
<!--
function createXMLHttpRequest() {
var ua;
if(window.XMLHttpRequest) {
try {
ua = new XMLHttpRequest();
} catch(e) {
ua = false;
}
} else if(window.ActiveXObject) {
try {
ua = new ActiveXObject("Microsoft.XMLHTTP");
} catch(e) {
ua = false;
}
}
return ua;
}
var req = createXMLHttpRequest();
function sendRequest() {
id = document.getElementById('dropdown').value;
req.open('get', 'func.php?s='+ id);
req.onreadystatechange = handleResponse;
req.send(null);
}
function handleResponse() {
if(req.readyState == 4){
document.getElementById('inhalt').innerHTML = req.responseText;
}
else
alert("loading" + ajax.readyState);
}
//-->
</script>
</head>
<body>
<p />Wählen Sie einen Eintrag aus um den Inhalt zu laden
<select name="auswahl" id="dropdown" onchange="sendRequest()">
<option value="ja">Ja</option>
<option value="nein">Nein</option>
</select>
<div id="inhalt"></div>
</body></html>

Alles anzeigen

und hier die func.php:

Quellcode

<?
include("db-connect.php");
//Inhalte laden
if ($auswahl == "ja")
$result = mysql_query("SELECT ja FROM tbl_ajax WHERE id = '".$_GET['s']."'; ");
while($row = mysql_fetch_object($result))
{
echo '<p /><b>'.$row->ja.'</b><br />';
}
else if ($auswahl == "nein")
$result2 = mysql_query("SELECT nein FROM tbl_ajax WHERE id = '".$_GET['s']."'; ");
while($row2 = mysql_fetch_object($result2))
{
echo '<p /><b>'.$row2->nein.'</b>';
}
?>

Alles anzeigen

Das Ganze funktioniert jedoch irgendwie nicht, und ich weiß nicht warum.

Könnt ihr mir bitte weiter helfen?

Gruß,
Surfer

Torben Brodt · 7. Dezember 2007, 18:27

Hi,
was genau klappt denn nicht?

Erstmal einen Tipp gegen Hacker: Sicher dein Query - [coderwiki]Informationen/PHP-MySQL-Injection[/coderwiki]
z.B. so

Quellcode

$_GET['s'] = intval($_GET['s']);

Weitere Tipp: Schau dir mal die Syntaxbar unter dem Texteingabefeld an. So kannst du deinen Code bunt highlighten.

Surfer · 9. Dezember 2007, 20:13

Hi,

vielen Dank für die Antwort und Tipps!

Das Problem ist, dass wenn ich JA oder NEIN auswähle nichts passiert, als ob nichts definiert ist...

Gruß,
Surfer

Torben Brodt · 9. Dezember 2007, 21:43

also 1:1 kopiert klappts bei mir wunderbar.
Vielleicht liefert dein PHP Script keine Ausgabe.

Rufs mal ohne AJAX auf: func.php?s=ja

//achso, intval macht dabei natürlich keinen Sinn mehr *gg*

Surfer · 9. Dezember 2007, 23:27

Also wenn ich das eingebe:

func.php?s=ja

...kommt nichts raus, also weiße Seite.

Also wie gesagt, es soll so sein, dass wenn ich in der Eingabemaske JA auswähle, dass der Text aus der JA-Spalte einer DB ausgelesen und unter der Eingabemaske ausgegeben wird. Genau das Ganze mit NEIN...

Bis jetzt sehe ich wie gesagt eine weiße Seite, egal, ob ich JA oder NEIN auswähle, oder ob ich func.php?s=ja eingebe.

Torben Brodt · 10. Dezember 2007, 09:14

wenn die php seite weiß ist, dann wissen wir, dass der fehler nicht in ajax/javascript liegt.

Ein Fehler ist: $auswahl. Das ist nämlich $_GET['s'].

Surfer · 10. Dezember 2007, 14:03

Hm, was soll ich jetzt genau alles ändern im Script, damit funktionierts?

X-Eon · 10. Dezember 2007, 14:52

Quellcode

<?
include("db-connect.php");
$auswahl = $_GET['s'];
// !!! Hier validierung ergänzen
//Inhalte laden
if ($auswahl == "ja") {
$result = mysql_query("SELECT ja FROM tbl_ajax WHERE id = '".$auswahl."'; ");
while($row = mysql_fetch_object($result))
echo '<p /><b>'.$row->ja.'</b><br />';
} else if ($auswahl == "nein") {
$result2 = mysql_query("SELECT nein FROM tbl_ajax WHERE id = '".$auswahl."'; ");
while($row2 = mysql_fetch_object($result2))
echo '<p /><b>'.$row2->nein.'</b>';
}
?>

Alles anzeigen

Klammern waren irgendwie komisch. Habe es zwar nicht probiert, aber denke so sollte das gehen.

Gruß,
X-Eon

Edit: Verdammt

Das Einrücken ist im Editor aber auch komisch ...

Surfer · 10. Dezember 2007, 16:08

Danke für den Lösungsvorschlag, aber mit dem klappts auch nicht. Die Seite bleibt weiß, auch wenn ich ...func.php?s=ja eingebe.

Torben Brodt · 10. Dezember 2007, 16:26

Ist dir denn bewusst, dass das SQL Query so aussieht?

Quellcode

SELECT ja FROM tbl_ajax WHERE id = 'ja';

Surfer · 10. Dezember 2007, 16:59

Also ich habe jetzt folgendes unter func.php stehen:

Quellcode

<?
include("auth.inc");
$auswahl = $_GET['s'];
if ($auswahl == "ja")
{
$result = mysql_query("SELECT ja FROM tbl_ajax WHERE id = 'ja'; ");
while($row = mysql_fetch_object($result))
echo '<p /><b>'.$row->ja.'</b><br />';
}
else if ($auswahl == "nein")
{
$result2 = mysql_query("SELECT nein FROM tbl_ajax WHERE id = 'ja'; ");
while($row2 = mysql_fetch_object($result2))
echo '<p /><b>'.$row2->nein.'</b>';
}
?>

Alles anzeigen

...und so sieht jetzt ajax.php aus:

Quellcode

<html><head>
<title>AJAX-Beispiel</title>
<script type="text/Javascript">
<!--
function createXMLHttpRequest() {
var ua;
if(window.XMLHttpRequest) {
try {
ua = new XMLHttpRequest();
} catch(e) {
ua = false;
}
} else if(window.ActiveXObject) {
try {
ua = new ActiveXObject("Microsoft.XMLHTTP");
} catch(e) {
ua = false;
}
}
return ua;
}
var req = createXMLHttpRequest();
function sendRequest() {
id = document.getElementById('auswahl').value;
req.open('get', 'func.php?s='+ id);
req.onreadystatechange = handleResponse;
req.send(null);
}
function handleResponse() {
if(req.readyState == 4){
document.getElementById('inhalt').innerHTML = req.responseText;
}
else
alert("loading" + ajax.readyState);
}
//-->
</script>
</head>
<body>
<p />Wählen Sie einen Eintrag aus um den Inhalt zu laden
<select name="auswahl" id="auswahl" onchange="sendRequest()">
<option value="ja">ja</option>
<option value="nein">nein</option>
</select>
<div id="inhalt"></div>
</body></html>

Alles anzeigen

Aber immer noch weiße Seite....

Surfer · 10. Dezember 2007, 21:15

Also ich habe das Script umprogrammiert und jetzt klappt es!

Eine Frage habe ich jedoch noch. Und zwar im jetzigen Script wähle ich mit Hilfe von <select> zwischen JA und NEIN.
Ich möchte jedoch anstatt <select> mit Links wählen. Das kriege ich nicht hin. Könnt ihr mir bitte helfen?

Hier ist die ajax.html:

Quellcode

Ajax-Beispiel<html>
<title>Ajax-Beispiel</title>
<body>
<script language="javascript" type="text/javascript">
<!--
//Browser Support
function ajaxFunction()
{
var ajaxRequest;
try{
//Opera 8.0+, Firefox, Safari
ajaxRequest = new XMLHttpRequest();
} catch (e){
//Internet Explorer Browsers
try{
ajaxRequest = new ActiveXObject("Msxml2.XMLHTTP");
} catch (e) {
try{
ajaxRequest = new ActiveXObject("Microsoft.XMLHTTP");
} catch (e){
//Fehlerausgabe
alert("Dein Browser ist kaputt!");
return false;
}
}
}
//Funktion, die gesendete Daten aus dem Server bekommt
ajaxRequest.onreadystatechange = function()
{
if(ajaxRequest.readyState == 4)
{
var ajaxDisplay = document.getElementById('ajaxAusgabe');
ajaxDisplay.innerHTML = ajaxRequest.responseText;
}
}
var bewertung = document.getElementById('bewertung').value;
var queryString = "?bewertung=" + bewertung;
ajaxRequest.open("GET", "function.php" + queryString, true);
ajaxRequest.send(null);
}
//-->
</script>
Gefällt dir das Foto?
<select id='bewertung' onchange='ajaxFunction()' />
<option selected>Bitte auswählen</option>
<option value="Ja">Ja</option>
<option value="Nein">Nein</option>
</select>
<div id='ajaxAusgabe'></div>
</body>
</html>

Alles anzeigen

X-Eon · 11. Dezember 2007, 07:01

Wenn ich dich richtig verstanden habe ...

Quellcode

<a href="#" onclick="ajaxFunction('Ja')">Ja</a>
<a href="#" onclick="ajaxFunction('Nein')">Nein</a>

Quellcode

<script language="javascript" type="text/javascript">
<!--
//Browser Support
function ajaxFunction(param)
{
var ajaxRequest;
try{
//Opera 8.0+, Firefox, Safari
ajaxRequest = new XMLHttpRequest();
} catch (e){
//Internet Explorer Browsers
try{
ajaxRequest = new ActiveXObject("Msxml2.XMLHTTP");
} catch (e) {
try{
ajaxRequest = new ActiveXObject("Microsoft.XMLHTTP");
} catch (e){
//Fehlerausgabe
alert("Dein Browser ist kaputt!");
return false;
}
}
}
//Funktion, die gesendete Daten aus dem Server bekommt
ajaxRequest.onreadystatechange = function()
{
if(ajaxRequest.readyState == 4)
{
var ajaxDisplay = document.getElementById('ajaxAusgabe');
ajaxDisplay.innerHTML = ajaxRequest.responseText;
}
}
var bewertung = param;
var queryString = "?bewertung=" + bewertung;
ajaxRequest.open("GET", "function.php" + queryString, true);
ajaxRequest.send(null);
}
//-->
</script>

Alles anzeigen

So in etwa sollte das schon möglich sein.

Surfer · 11. Dezember 2007, 07:52

Super! Danke euch! Es klappt nun alles...

Eine Frage habe ich noch: Könnt ihr bitte gucken, ob die beiden Scripts (ajax.html und function.php) auch sicher gegen Hacker sind ?
Evtl. Kommentare korrigieren. "ajax.html" findet man im vorigen Beitrag.

Und hier die function.php:

Quellcode

<?php
include('db-connect.php');
//ID
$bewertung = $_GET['bewertung'];
//Schutz?
$bewertung = mysql_real_escape_string($bewertung);
if($bewertung == "Ja")
{
$query = "SELECT ja, jcount FROM tbl_ajax";
mysql_query("UPDATE tbl_ajax SET jcount = (jcount+1) WHERE ja = $bewertung");
}
else if ($bewertung == "Nein")
{
$query = "SELECT nein, ncount FROM tbl_ajax";
mysql_query("UPDATE tbl_ajax SET ncount = (ncount+1) WHERE nein = $bewertung");
}
else
{
echo "Du hast keine Wahl getroffen.";
}
//Endabfrage
$qry_result = mysql_query($query) or die(mysql_error());
//Ergebnis-Strings
$display_string = "<table>";
$display_string .= "<tr>";
$display_string .= "<td></td>";
$display_string .= "</tr>";
//Ausgabe
while($row = mysql_fetch_array($qry_result))
{
$display_string .= "<tr><b>Bewertung:</b>";
$display_string .= "<td>$row[ja]</td>";
$display_string .= "<td>$row[jcount]</td>";
$display_string .= "<td>$row[nein]</td>";
$display_string .= "<td>$row[ncount]</td>";
$display_string .= "</tr>";
}
//echo "Abfrage: " . $query . "<br />";
$display_string .= "</table>";
echo $display_string;
?>

Alles anzeigen

Vielen Dank!

X-Eon · 11. Dezember 2007, 08:09

Wenn register_globals aus ist, sollte das sicher sein.
Du machst mit dem Parameter nur etwas in der Datenbank, wenn dieser genau Ja bzw. Nein entspricht. Das ist gut.

Allerdings, wenn du register_globals an hast, und der User die URL so aufruft:
function.php?bewertung=boese&query=<Boeses Query>

Würde der Parameter query als $query verfügbar gemacht und da $bewertung weder Ja noch Nein entspricht (sondern "boese") wuerde $query nicht mehr überschrieben.
Nach der If-elseif-else Bedingung würde dann das Query ausgeführt. Sichererer wäre es jedenfalls das query mit in die Bedingung zu ziehen, oder eine neue Bedingung dafür
zu bauen.

z.B. if($bewertung == "Ja"

$bewertung == "Nein")

Gruß,
X-Eon

Edit: Oder im else Zweig das query zu löschen

Surfer · 11. Dezember 2007, 08:35

Edit: Oder im else Zweig das query zu löschen

Und wie lösche ich das query im else Zweig?

Gruß,
Surfer

X-Eon · 11. Dezember 2007, 09:39

Hab nochmal nachgedacht

Einfach das query zu überschreiben würde zwar gehen, ist aber nicht besonderst schön, da du dann immer ein leeres Query an mysql_query übergibst.

Das einfachste wäre es, wenn du in deinen else-Zweig ein exit nach der Ausgabe machst.
Falls das Script aber trotzdem durchlaufen soll, würde ich es so machen ...

Quellcode

<?php
include('db-connect.php');
//ID
$bewertung = $_GET['bewertung'];
//Schutz?
$bewertung = mysql_real_escape_string($bewertung);
if($bewertung == "Ja")
{
$query = "SELECT ja, jcount FROM tbl_ajax";
mysql_query("UPDATE tbl_ajax SET jcount = (jcount+1) WHERE ja = $bewertung");
}
else if ($bewertung == "Nein")
{
$query = "SELECT nein, ncount FROM tbl_ajax";
mysql_query("UPDATE tbl_ajax SET ncount = (ncount+1) WHERE nein = $bewertung");
}
else
{
echo "Du hast keine Wahl getroffen.";
//exit; Hier vllt ein exit?
}
if($bewertung == "Ja" || $bewertung == "Nein") {
//Endabfrage
$qry_result = mysql_query($query) or die(mysql_error());
//Ergebnis-Strings
$display_string = "<table>";
$display_string .= "<tr>";
$display_string .= "<td></td>";
$display_string .= "</tr>";
//Ausgabe
while($row = mysql_fetch_array($qry_result))
{
$display_string .= "<tr><b>Bewertung:</b>";
$display_string .= "<td>$row[ja]</td>";
$display_string .= "<td>$row[jcount]</td>";
$display_string .= "<td>$row[nein]</td>";
$display_string .= "<td>$row[ncount]</td>";
$display_string .= "</tr>";
}
//echo "Abfrage: " . $query . "<br />";
$display_string .= "</table>";
echo $display_string;
} // Ende der If.
?>

Alles anzeigen

Surfer · 11. Dezember 2007, 13:02

Also es scheint auch mit "exit" geklappt zu haben. Denn wenn ich ..../function.php eingebe, erscheint einfach eine weiße Seite. Richtig?

Und das kann man wohl als Schutz betrachten, oder?

Quellcode

...
//Schutz?
$bewertung = mysql_real_escape_string($bewertung);
...

Ajax/PHP/MySQL: Selecten aus DB

Ajax/PHP/MySQL: Selecten aus DB

HTML-Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Teilen

Benutzer online 1

Tags