Dynamische Tabelle erstellen

xored · 3. November 2017, 22:11

Hey erneut

Ich möchte gerne auf meiner Website eine dynamische Tabelle erstellen.
Die Daten sollen aus meiner Datenbank gelesen werden.
Das alles klappt auch eigentlich schon, nur sieht das halt unübersichtlich aus.

Mein Code:

PHP-Quellcode

<?php
$result = mysql_query("SELECT buyTime, untilTime FROM users WHERE userName='".$_SESSION["user"]."';");
$num_rows = mysql_num_rows($result);
echo("Buy Date"."|Expire Date");
echo "<br />";
echo "<br />";
while ($row = mysql_fetch_array($result)) {
echo '<th>'.$row['buyTime'].'</th>'."|".'<th>'.$row['untilTime'].'</th>';
echo "<br />";
}
?>

Ergebnis:

Ja.. Wie kriege ich das in eine richtige Tabelle mit Trennlinien?

Danke

Lg

Link · 4. November 2017, 22:37

Wieso wird dieser mysql_* Mist noch benutzt, das wird doch in aktuellen PHP Versionen gar nicht mehr unterstützt ... Siehe hier, da steht's ja groß und in einem roten Kasten.

- Der Code ist anfällig für XSS (einschleusen von Fremdcode möglich) weil HTML direkt und ungefiltert ins Dokument gelangen kann
- Außerdem anfällig für SQL-Injections, wenn z.B. der Benutzername single Quotes enthält ist dein SQL-Statement am Arsch - ein kleines DROP TABLE users vermiest dir möglicherweise den Tag.
- Bitte Tabellen- und Feldnamen in SQL-Statements in Backticks setzen (unter anderem deswegen).

PHP-Quellcode

<?php
# Sitzung starten
session_start();
# Ich knall da gleich mal irgendwas rein weil ich in meiner Tabelle den Benutzer "test" hab
$_SESSION['user'] = 'test';
# Fehlerausgabe aktivieren - bevor die Seite Live geht natürlich auf false setzen
$debug = true;
if ($debug) {
ini_set('display_errors', true);
error_reporting(E_ALL);
}
/**
* Sichere Ausgabe von HTML (ne simple XSS prevention quasi)
*
* @param $value
*
* @return string
*/
function e($value) {
return htmlspecialchars($value, ENT_QUOTES, 'utf-8');
}
?>
<html>
<head>
<title>Test</title>
<style>
/**
* Den ganzen Shit ein wenig stylen
*/
* {
padding : 0px;
margin : 0px;
}
html {
background-color : #444444;
}
body {
font-family : "Verdana", "Arial", sans-serif;
background-color : #ffffff;
padding : 24px;
margin : 32px auto;
max-width : 90%;
}
table {
border-collapse : collapse;
border : 1px solid #cccccc;
background-color : #f4f4f4;
font-size : 14px;
}
table tr td,
table tr th {
padding : 8px;
border : 1px solid #cccccc;
color : #444444;
}
table tr th {
font-weight : bold;
text-align : center;
}
table tr td {
background-color : #eeeeee;
font-weight : normal;
}
/* Damit jede zweite Tabellenzeile einen etwas dunkleren Hintergrund hat */
table tr:nth-child(even) td {
background-color : #dddddd;
}
</style>
</head>
<body>
<?php
$db = null;
try {
# Datenbankverbindung herstellen mit dem Data Source Name, Benutzername,
# Kennwort und einem Array mit Optionen
$db = new PDO('mysql:host=localhost;dbname=test', 'xored', 'xored', [
# UTF8 aktivieren
PDO::MYSQL_ATTR_INIT_COMMAND => 'SET NAMES utf8',
# Standardmäßig die Ergebnisse als assoziatives Array fetchen - geht auch numerisch oder als Objekt
PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
]);
} catch (\PDOException $e) {
echo "Da ist was schiefgelaufen:<br>" . $e->getMessage();
}
# Daten abrufen - das geht über die query() methode der PDO Klasse.
# Die gibt ein PDOStatement object zurück, dessen Daten du mit fetchAll() abrufen kannst
$Daten = $db->query("SELECT `buyTime`, `untilTime` FROM `users` WHERE `userName` = " . $db->quote($_SESSION['user']))->fetchAll();
# Checken ob's Daten gibt
if ($Daten !== false) {
echo "<table>";
echo "<thead>";
echo "<tr>";
echo "<th>Kaufdatum</th>";
echo "<th>Ablaufdatum</th>";
echo "</tr>";
echo "</thead>";
echo "<tbody>";
# Die Daten in einer Schleife durchlaufen
foreach ($Daten as $row) {
echo "<tr>";
# Hier mit der e() function die in diesem Dokument oben deklariert wurde Daten sicher ausgeben
echo "<td>" . e($row['buyTime']) . "</td>";
echo "<td>" . e($row['untilTime']) . "</td>";
echo "</tr>";
}
echo "</tbody>";
echo "</table>";
}
?>
</body>
</html>

Sieht dann exakt so aus das Ganze:

Hinweis: fetchAll() gibt ein Array zurück (das Werte enthalten kann oder auch nicht, schließlich kann es ja sein dass für die gewählte Condition kein Ergebnis gefunden wird) oder aber false bei einem Fehler. Wie du im Code siehst kannst du mit dem !== Operator checken dass das Ergebnis kein Fehler ist.

Lies dich doch mal ein in die Themen PDO, XSS, SQL-Injection und als erstes vielleicht auch mal generell in PHP, wenigstens die Basics. Ne Webapplikation sicher zu machen ist keine große Sache und geht ganz nebenbei wenn man's einmal drin hat. Aber mit deinem Code den du oben gepostet hast, kann dir jeder deine komplette Anwendung in Null Komma nix crashen und löscht / erstellt dir auch gleich noch beliebig Datenbanken oder Tabellen wenn der user GRANT permissions besitzt (ein beliebter Fehler bei Anfängern). Und selbst wenn nicht ist es sicher dennoch unerfreulich wenn dir jemand aus Spaß alle Tabellen leert oder sie mit Daten füttert bis dein Serverspeicher voll ist

Link

Marcus Gräfe · 5. November 2017, 17:30

@Link Bitte bearbeite deinen Post umgehend und entferne die ganzen Kraftausdrücke. Das muss doch nun wirklich nicht sein.

Dynamische Tabelle erstellen

Dynamische Tabelle erstellen

PHP-Quellcode

PHP-Quellcode

Benutzer online 1

Ähnliche Themen

3 Benutzer haben hier geschrieben