[Guradia]

Ich kümmere mich um einiges neuerdings nicht mehr:

PHP-Code:

<?php
        $Sql = "INSERT INTO foo ( bar ) VALUES ( :bar )";
        $Stmt = $Pdo->prepare($Sql);
        $Stmt->bindParam(':LimitStart', $_GET['bar'], PDO_PARAM_STR);
        $Stmt->execute();
?>

PDO macht das hübsch allein ...

[Ben]

Wie arbeitet PDO denn intern? Haste da gerade mal einen direkten Link parat?

[Du-weisst-schon-wer]

PDO übergibt der Datenbank die Query erst kompelett ohne Eingabewerte bzw. nur die du in der Rohfassung an das DBMS weitergibst. Danach werden durch BindParam die Werte übermittelt und in der Datenbank in der Query "eingesetzt" hier kann allerdings nichts passieren, denn das DBMS hat die Query quasi vorkompiliert.

Öhm Guradia:
Warum benutzt du bei bindParam :LimitStart? ist das irgendwie ein Sonderplatzhalter? weil oben nimmst du :Bar?!

PHP-Code:

public function escapeString(&$string) {
    $string = preg_replace("~[^a-z0-9]~i","",$string);
    $string = addslashes($string);
        
    return $string;
} 


In meiner database klasse meines CMS habe ich diese Methode geschrieben. Zuerst werden alle ungültigen Zeichen entfernt. d.h. es gelten nur Zahlen und Buchstaben.

Sollte der string dann auch noch zeichen wie \x01 oder \n oder so enthalten werden diese durch addslashes escaped zu \\x01 und \\n und somit besteht keine Gefahr mehr.

-- Fat Tony

[Ben]

Was ist denn, wenn du jetzt ein Fragezeichen im Text hast?

Diese Funktion habe ich nur für ein Login geschrieben. Ansonsten kann man sie ja auch so schreiben

PHP-Code:

    public function escapeString(&$string,$spChars = true) {
        // If special chars are no allowed
        if (!$spChars) {
            $string = preg_replace("~[^a-z0-9]~i","",$string);
        }
        
        $string = mysqli_real_escape_string($this->db,$string);
        
        return $string;
    } 


[Ben]

Eventuell interessanter Thread dazu:
http://forum.developers-guide.net/showthread.php?t=535

[Doggi]

Zitat:

Zitat von Buhmann

Zitat:

hm ich kenne diese version:

PHP-Code:

<?php

// Quote variable to make safe
function quote_smart($value)
{
   // Stripslashes
   if (get_magic_quotes_gpc()) {
       $value = stripslashes($value);
   }
   // Quote if not integer
   if (!is_numeric($value)) {
       $value = "'" . mysql_real_escape_string($value) . "'";
   }
   return $value;
}
?>

man müsste mal beide versionen testen um herauszufinden, welche nun richtig ist..

diese version scheint nicht zu funktionieren. ich habs probiert und bekomme zwischen den ' ' Zeichen NICHTS. es wird einfach gelöscht, was als value mal übergeben wurde und die beiden ' ' am anfang und am ende bleiben. übrigens funktioniert die erste variante auch irgendwie nicht. bin grad ziemlich gefrustet und bleibe wohl bei meiner alten, unsicheren variante, die wenigstens funktioniert.

[Lars]

Dann machst du was flasch. Zeig mal her, was du machst.

[Doggi]

hab alles über den haufen geworfen und anders gemacht. müsste es wieder so zusammenstellen, wie es war. mach ich aber erst morgen (gleich feierabend )

[Lars]

PHP-Code:

$string = addslashes($string); 


Das kannst du dir schenken. Was soll den escaped werden, wenn nur noch Zahlen und Buchstaben im String sind?

[Doggi]

so habs rekonstruiert.

also, reihenfolge der abarbeitung der dateien ist folgende:

index.php (formular)
session.php (prüfen und bearbeiten der formulardaten)
zugriff.php (eintragen in die db)
danke.php (exit)

die index übergibt also die fomulardaten an die session.

als function hab ich mal deine genommen

PHP-Code:

 function mysql_secure($text)
  {
    $text = htmlspecialchars($text);
    $text = mysql_escape_string($text);

        if(!get_magic_quotes_gpc())
      $text = addslashes($text);      // Ausgabe dann mit  stripslashes()

    return $text;
  } 


in der session.php hab ich ein include der function.php

dann hab ich in der session.php folgendes:

PHP-Code:

$_POST['vorname']    = mysql_secure($_POST['vorname']); 


dazu ist es doch gedacht oder? leider bleibt in diesem fall die session.php weiß, ohne ausgabe von irgendwas.

Zitat:

$string = addslashes($string);

hab ich in der zugriff.php damit die \ und ' auch escaped in die db eingetragen werden. wenn nur zahlen und buchstaben übrig sind, passiert nichts.

[J33d3X]

sag mir mal bitte was du bezweckst mit

$var = mysql_escape_string("hallö'chen");

echo $var;

und gleich danach :

if(!get_magic_quotes_gpc())
$var = addslashes("hallö'chen");


lass dir das mal duch den Kopf gehen .....

[Lars]

Zitat:

Zitat von J33d3X

if(!get_magic_quotes_gpc())
$var = addslashes("hallö'chen");

Eigentlich geht es darum, alle Escape-Backspaces vor dem Aufruf von mysql_real_escape_string() zu entfernen, damit man nur den reinen Input escaped.

[J33d3X]

wenn es denn so ist ...
was macht die funktion für einen Sinn ???

Zitat:

function mysql_secure($text)
{
$text = htmlspecialchars($text);
$text = mysql_escape_string($text);

if(!get_magic_quotes_gpc())
$text = addslashes($text); // Ausgabe dann mit stripslashes()

return $text;
}

nachdem was du sagst

Zitat:

Eigentlich geht es darum, alle Escape-Backspaces vor dem Aufruf von mysql_real_escape_string() zu entfernen, damit man nur den reinen Input escaped.

kann die funkktion nie vor einem insert stattfinden ( wo wäre denn da der reine input )
aber:
nach dem select ( also im output ) ist sie "so wie sie dasteht" genauso sinnbefreit
da erst ein escapen mit mysql_escape_string erfolgt ... dann eine abfrage ob
get_magic_quotes_gpc und nochmal escapen per addslashes

a ) performancelastig
b ) sinnbefreit

falls ich nicht etwas gravierendes übersehe


mfg

[Lars]

Erklär mir mal bitte, was du an meinem Post auszusetzen hast. Ich steig da grade nicht so durch

[J33d3X]

ich habe an deinem post nichts auszusetzen da es deutlich ist

ich will lediglich darauf hinweisen das die besagte funktion es wert ist
genauer hinzuschauen/überdenken da sie in meinen augen durch den zusatz
if(!get_magic_quotes_gpc())
$text = addslashes($text);

über das eigentliche ziel hinausschiesst, da vorher schon bedingungslos mysql_escape_string angewand wurde ...

hat also weder was mit deinem post noch mit deiner person zutun

mfg

[Lars]

Keh, dachte scho ich hätte wieder Teile meines Halbwissens verbreitet

[Jojo]

ähmm...
ich hab mir mal aus den Infos auf php.net folgende Funktion gebastelt:

PHP-Code:

     public function query($sql, $user = false) {
         $sql = (get_magic_quotes_runtime() || (get_magic_quotes_gpc() && $user)) ? stripslashes($sql) : $sql;
         return mysql_query(mysql_real_escape_string($sql));
     } 


wobei mit $user angegeben werden kann, ob sich der Querystring direkt aus Benutzereingaben zusammensetzt.

Ist das nun sicher oder net?
Bitte klärt mich auf. (Nur über das )
Danke,
Jojo

[Doggi]

PHP-Code:

    function mysql_secure($text)
  {
    $text = htmlspecialchars($text);
    $text = mysql_escape_string($text);

        if(!get_magic_quotes_gpc())
      $text = addslashes($text);      // Ausgabe dann mit  stripslashes()

    return $text;
  } 


nun hab ich beide varianten probiert:

PHP-Code:

$_POST['nachricht']    = mysql_secure($_POST['nachricht']);

mysql_secure($_POST['nachricht']); 


leider bleibt die seite weiß ohne fehler oder sonstigem.

warum funktioniert die funktion bei mir nicht?
dabei soll es jetzt mal egal sein ob sinn oder unsinn einzelner funktionsinhalte. problem ist ja, dass die funktion überhaupt nicht funktioniert.