Hallo,

ich habe ein Problem mit folgenem SQL Code.
SELECT * FROM `user` WHERE `User` = 'Benutzer' AND `Passwort` = password('passw') Kann mir jemand sagen warum das nicht klappt?
Es kommt kein Fehler, aber auch kein Ergebnis obwohl es ein Ergebnis geben müsste!

Gruß
Thomas

Hallo Thomas,

reduziere doch mal deine Einschränkungen und schau welche deiner Ausdrücke nicht wahr wird.
Irgendwo ist das was du dir denkst und das was das System macht unterschiedlich.
Meist sitzt der Fehler aber vor dem Gerät.
Also wie so oft: Fehlersuche!

MfG

Thorsten

Da du nicht angegeben hat, welche Datenbank du verwendest ist es schwer dir zu helfen aber versuch mal die Quotes um den Tabelle- und Feldname wegzulassen:

SELECT * FROM user WHERE User = 'Benutzer' AND Passwort = password('passw')

Na, ja, wie seht ihr das: 'User' = 'Benutzer' war noch nie wahr, denn diese beiden Strings sind nunmal nur semantisch äquivalent, aber vom ersten bis zum letzten Buchstaben unterschiedlich. .

In SQL werden Felder und Tabellen, mit '[]' eingefasst, wenn man Konflikte mit reservierten Wörten vermeiden will. Es sollte also so laufen:
Select * from [user] where [user]='Benutzer' and [Password]=Password('passw') Grundsätzlich würde ich Feldnamen mit einem Prefix versehen, der für alle Tabellen unterschiedlich ist. Foreign Keys erhalten den Prefix der Fremdtabelle, damit sind 'Natural Joins' möglich, die vielleicht doch irgendwann im SQL Standard implementiert sind.

Mit Prefixen wäre die Abfrage eindeutig:
Select * from User Where usUser='Benutzer' and usPassword = Passw('passw') Das Beste zum Schluss: Stimmt es, das die Hashfunktion im Server installiert ist? Dann muss ich ja nur einen SQL-Monitor auf den Server setzen und schon hab ich alle Passwörter! Implementiere die Hashfunktion lieber in einer Mittelschicht, sodaß ein potentieller Angreifer nur sowas sieht;Select * from User Where usUser='Benutzer' and usPassword = 'F234SDFGs789HJKHJ' Damit kann er dann nicht allzuviel anfangen.

Wenn Du in der Frage von Plague genau hinschaust, findest Du:
Diese "merkwürdigen" schrägen Anführungszeichen umschließen keinen String sondern Feld- und/oder Tabellennamen. Das ist IMHO einen Eigenart von MySQL.
Zur eigentlichen Frage: Steht im Feld User tatsächlich 'Benutzer' oder steht dort z.B. 'Benutzer '? Das wären dann in der Tat verschiedene Strings (analog auch das Feld Passwort überprüfen). Hast Du auf korrekte Groß/Kleinschreibung geachtet? Und probiere es doch mal mit User LIKE 'Benutzer%'.

Dein Problem hat was mit Datenbanken zu tun, also würde es mehr Sinn machen es auch in die Datenbank Sparte zu posten. Dort müsstest Du auch angeben welche Datenbank Du verwendest, damit wäre das mit den ´xx´ auch klar gewesen.

Ich denke mal das die Lösung auch schon gepostet wurde.

Das beste Mittel gegen diese Art der ignoranten Fragestellung ist: einfach nicht antworten.
Außer vllt. "Schreibe es nochmal richtig unter "Datenbanken" und ich antworte dir auch", o.ä.

Das ist schlichtweg falsch.
In SQL werden die Feldnamen nicht mit irgendwas eingefasst!

In einigen "herstellerspezifisch" angepassten SQL Dialekten schon.

Aus diesem Grund muss man ja auch bei der Datenbank Sparte seine verwendete Datenbank angeben.

In Oracle z.B. kannst Du nicht mit [Feldname] arbeiten. Das gibt nur einen Syntaxfehler.
[edit]Der Vollständigkeit halber: In Oracle kann man zur Not "Feldname" verwenden[/edit]

Besser ist es keine Schlüsselwörter zu verwenden und die Feldnamen nicht einzufassen.
Dies kann unter anderem wie Du schon sagtest mit einem Pre- oder Postfix erreicht werden.

Ich habe keine Antwort gegeben
(Das musste ich auch nicht, da die "Anderen" ja schon die "richtige" Antwort gaben.)

Ich nutze die MySQL 4.1 Datenbank.

Alle Tipps habe ich versucht, die haben aber nichts gebracht...

Edit:
Achso eins noch zum Thema Einschränken und suchen wo der Fehler liegt.... Dieser sitzt glaube ich bei der password() Funktion... Aber sehe nicht wo der Fehler ist...