"We are back" « oc.at

php / mysql insert values aus variable

Print Page

Redphex 21.07.2010 - 11:03 2139 12

Posts

Redphex Legend RabbitOfNegativeEuphoria Registered: Mar 2000 Location: Kadaverstern Posts: 11815	21.07.2010 - 11:03 Hoi Ich hab da folgendes Problem: In einem PHP script inserte ich Werte aus einer Variablen in die Datenbank via Code: `mysql_query("insert into tablename value ('$var1')");` Alles wunderbar - nur haut's eam auf, wenn in der Variable selbst ein ' enthalten ist. Was müsst ich ändern, damit er auch solche Werte richtig verarbeitet? Bearbeitet von Redphex am 21.07.2010, 11:57
Esh Bloody Newbie Registered: May 2010 Location: Wien Posts: 18	21.07.2010 - 11:05 ist zwar schon lange her, aber afaik musst sie escapen: http://php.net/manual/en/function.addslashes.php edit: description beachten -> gibt vll bessere möglichkeiten als die funktion addslashes selbst
Neo1010 . Registered: May 2003 Location: - Posts: 1212	21.07.2010 - 11:06 probier mal: mysql_query("insert into tablename value (\"$var1\")");
mat Administrator Legends never die Registered: Aug 2003 Location: nö Posts: 25494	21.07.2010 - 11:09 Die richtige Antwort ist mysql_real_escape_string(). addslashes() hat Sicherheitsprobleme. In deinem Fall wäre das dann: Code: `mysql_query("insert into tablename value ('".mysql_real_escape_string($var1,$link)."')",$link);`
Redphex Legend RabbitOfNegativeEuphoria Registered: Mar 2000 Location: Kadaverstern Posts: 11815	21.07.2010 - 11:56 merci worx
Ringding Pilot Registered: Jan 2002 Location: Perchtoldsdorf/W.. Posts: 4300	21.07.2010 - 13:09 Hier ist mal wieder das angebracht.
watchout Legend undead Registered: Nov 2000 Location: Off the grid. Posts: 6845	21.07.2010 - 14:06 SQL injection wird wohl immer ein Thema bleiben...
that Hoffnungsloser Optimist Registered: Mar 2000 Location: MeidLing Posts: 11342	21.07.2010 - 21:18 Gibts in PHP keine gebundenen Query-Parameter, so wie in echten Programmiersprachen?
watchout Legend undead Registered: Nov 2000 Location: Off the grid. Posts: 6845	21.07.2010 - 22:42 Glaub schon (in php5), aber man muss es verwenden, genauso wie man in anderen Sprachen auch den gleichen Mist verzapfen kann wie in PHP
mat Administrator Legends never die Registered: Aug 2003 Location: nö Posts: 25494	22.07.2010 - 00:23 Ich löse das gerne mit vsprintf(). Somit wird der SQL-Code erst kurz vor dem Ausführen des Queries erzeugt und vorab ordentlich geprüft. %s also Strings werden mit mysql_real_escape_string() gesichert, Zahlen werden automatisch gecasted usw. Damit hat sich ein Großteil der Sorgen durch SQL-Injections erledigt, den Rest muss das Gehirn machen. Ein Vorteil der Technik ist übrigens ein schöner SQL-Code, der nicht mit eingefügten PHP-Variablen und diversen String-Operationen unleserlich gemacht wird.
watchout Legend undead Registered: Nov 2000 Location: Off the grid. Posts: 6845	22.07.2010 - 00:38 Nachdem das Thema eh schon abgeglitten ist... Wie löst du IN(...) mit einer variablen Argumentliste?
mat Administrator Legends never die Registered: Aug 2003 Location: nö Posts: 25494	22.07.2010 - 01:31 Habe ich bisher nicht substituieren müssen. Aber wenn, dann würde ich unter Umständen einen eigenen Parameter dafür nutzen (zB %a) und an dessen Stelle das als String dargestellte Array (zB 'value1','value2', ...) einsetzen.
Rektal Here to stay Registered: Dec 2002 Location: Inside Posts: 4466	31.07.2010 - 11:09 Zumindest in PHP haben prepared Statements (via PDO) einen Nachteil beim Debuggen: man sieht nicht, was wirklich zum Server geschickt wird und kanns nicht einfach in eine SQL Shell kopieren :/

All times are GMT +1 hour. The time now is 19:46.

Anmeldung

New Posts

Today's Active Threads

Bewusste AIs?
19:43 Klaus

overclocked Pizza
19:34 d0lby

NVIDIA GeForce RTX 5000 Serie
19:30 daisho

Dexter Original Sin (Prequel Series)
19:19 Earthshaker

Urlaub 2025
19:12 charmin

oc.at 3D Drucker Nerd Thread
18:59 Punisher

Latest News

overclockers.at is back!
25.01. mat

User of the Month: disposableHero
28.10. WONDERMIKE

Neues Unterforum: Artificial Intelligence
10.08. WONDERMIKE

Erweiterung unseres Suche / Biete / Tausche Markplatzes: Alles außer Hardware!
07.04. WONDERMIKE

User of the Moment: Viper780
04.05. böhmi

Archives: News Articles

Links

Partners:
» Gamers.at
» Notebookcheck.com

L E F T B A R

Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz

© all rights reserved by overclockers.at 2000-2025
overclockers.at v4.thecommunity based on vBulletin 2.2.5
Page generated in 0.009 seconds (SQL-time: 0.005 seconds, 24 queries)
sponsored by www.nessus.at