[Lars]

Also...
Ich habe einen Query, der sieht so aus:

PHP-Code:

<?php

$query = "
    USE
        `{$db_name}`
    ;
";

?>

Ist nur einer meiner vielen Queries, bei denen das Problem auftaucht.

Jedenfalls escape ich ihn in meiner DB-Klasse mit mysql_real_escape_string().

PHP-Code:

<?php

$query = mysql_real_escape_string($query, $this->db_link);

?>

Allerdings macht die Funktion aus jeglichen Zeilenumbrüchen ein \r\n.
Bei obigem Query kommt also Folgendes raus.

Code:

string(36) "\r\n				USE\r\n					`phpext`\r\n				"

Die Tabs bleiben also erhalten. Ohne den Resource-Link und mit mysql_escape_string() passiert das selbe.

Warum? Und vor allem: Wie kann ich das umgehen?

Ich arbeite mit PHP 5.0.4 und dem Apache 2.0.53 unter WinXP SP1.

[Grollicus]

Wo ist dabei denn das Problem?
Abgesehen davon dass man's nicht lesen kann... aber der Mysql-Server sollte das doch können

[Buhmann]

ich glaube, du hast die funktionsweise von mysql_escape_real_string nicht verstanden.

Es geht nicht darum, einen query zu escapen, sondern zeichenketten, die in die db geschrieben (o.ä.) werden.

PHP-Code:

<?php
$boese = $_GET["boesevariable"];
$sql = "UPDATE abc SET def = '".$boese."';"; // so nicht
$sql = "UPDATE abc SET def = '".mysql_escape_real_string($boese)."';"; // so isses richtig
?>

die variable $boese kann der nutzer mittels eines formulars übergeben. wenn sie du aber so etwas enthält:

Code:

lalala', admin = 1, text = '

würde, ohne mysql_escape_real string, dieser code entstehen:

Code:

UPDATE abc SET def = 'lalala', admin = 1, text = '';

(vorrausgesetzt, magic_quotes ist deaktiviert)

such mal in diesem forum nach mysql injection, da war mal was zu diesem thema.

[Lars]

Achso. Es werden also Werte, die in die DB geschrieben werden sollen, abgefertigt.
Im Manual wird das anhand der Beispiele zwar angedeutet, aber nicht klargestellt.
Heißen Dank