[Erledigt] MSSQL weigert sich blowfish-verschlüsselte Inhalte anzunehmen.

boarda · 03.01.2012, 13:39

Hallo Leute,

Leider konnte ich zu meiner Problematik nichts konkretes dazu finden.

Problem:
Ich möchte den Inhalt einer HTML Email verschlüsselt in der MSSQL Datenbank speichern.
Fehler:

Code:

Warning: mssql_query() [function.mssql-query]: message: Line 1: Incorrect syntax near '�'. (severity 15) in C:\Programme\Apache Software Foundation\Apache2.2\htdocs\save.php on line 164
Warning: mssql_query() [function.mssql-query]: message: The identifier that starts with '�x��d....' is too long. Maximum length is 128. (severity 15) in C:\Prog...
Warning: mssql_query() [function.mssql-query]: message: Unclosed quotation mark before the character string 'wq$-�#O�Ѥ!��̊o:�}?(�����Ð���'. (severity 15) in C:\Prog...

Remotesystem:
Win2003 Std, Apache 2.2, Php 5.2.17, MSSQL 2000
Das Feld in der Tabelle ist auf Varchar 5000 gesetzt (der Text als Blowfish sind aktuell 2700 Zeichen).

PHP-Code:

  $query_inhalt = mcrypt_encrypt(MCRYPT_BLOWFISH, BLOWFISHKEY, $inhalt, MCRYPT_MODE_ECB);
$sql = ("UPDATE pakete SET inhalt = '".$query_inhalt."' WHERE code = '".$code."'");
$query = mssql_query($sql)

Die Fehlermeldung kommt wohl aufgrund der speziellen Charaktere zustande, sodass die Query schon vorher abbricht und die darin enthaltenen Sonderzeichen als weitere Queryanweisungen interpretiert.

Grüße und ein gutes neues Jahr.

eagle275 · 03.01.2012, 13:50

du musst mindestens erstmal den String-Datenwert im SQL-Befehl in Stringbegrenzer setzen, weil sonst SQL denkt du meinst eine andere Spalte und da knallt es dann

PHP-Code:

  $query_inhalt = mcrypt_encrypt(MCRYPT_BLOWFISH, BLOWFISHKEY, $inhalt, MCRYPT_MODE_ECB);
$sql = ("UPDATE pakete SET inhalt = '".$query_inhalt."'  WHERE code = '".$code."'");
$query = mssql_query($sql)

wenn es dann immer noch Probleme gibt, dann musst du das Encoding anständig einstellen

boarda · 03.01.2012, 14:16

Zitat:

Zitat von eagle275

PHP-Code:

  $query_inhalt = mcrypt_encrypt(MCRYPT_BLOWFISH, BLOWFISHKEY, $inhalt, MCRYPT_MODE_ECB);
$sql = ("UPDATE pakete SET inhalt = '".$query_inhalt."'  WHERE code = '".$code."'");
$query = mssql_query($sql)

Danke für den Hinweis, hatte das wie üblich drin und danach entfernt um zu testen.
Fehlermeldung bleibt Incorrect syntax near '��'.
Nach utf8_decode von $query_inhalt ebenfalls (nur die Zeichen ändern sich auf Fragezeichen bzw andere Ascii's. Oder wie hattest du das mit dem Encoding gemeint?

PHP-Code:

  $query_inhalt= iconv("UTF-8", "ISO-8859-1//TRANSLIT", $query_inhalt);
// auch ohne //TRANSLIT

Konvertierung funktionierte nicht. Es sei angemerkt, dass ich sonst bisher keinerlei Probleme hatte, Daten mit Umlauten und Sonderzeichen zu speichern.

eagle275 · 03.01.2012, 14:49

dann ist es offensichtlich, dass dein Blowfish wohl selbst Hochkomma produziert, die vorzeitig den String beenden

für mysql würde ich dir zu mysql_real_escape_string raten

bei mssql muss man selbst Hand anlegen oder aber mit prepared Statements (über eine andere Datenbankerweiterung) arbeiten

PHP-Code:

  $query_inhalt = mcrypt_encrypt(MCRYPT_BLOWFISH, BLOWFISHKEY, $inhalt, MCRYPT_MODE_ECB);

$fix_str=stripslashes($query_inhalt);

$fix_str=str_replace("'","''",$fix_str);

$fix_str=str_replace("\0","[NULL]",$fix_str);

$sql = ("UPDATE pakete SET inhalt = '".$fix_str."'  WHERE code = '".$code."'");

$query = mssql_query($sql);

versuch es mal damit

boarda · 03.01.2012, 15:24

Danke eagle, dass das Blowfish Hochkomma und Backslashes/Slashes produziert ist und der String vorzeitig beendet wird war mir schon klar gewesen, ist in meinem ursprünglichen Text leider nicht ganz ersichtlich. Allerdings hatte ich nicht an die einfache und logische Lösung des replacen der Inhalte gedacht.
Wenn ich stripslashes verwenden würde, wäre aber der Blowfish Code zerstört - das muss ja auch wieder decrypted werden, habs nun aber für die relevanten Zeichen händisch gemacht und es funktioniert einwandfrei.

Mein Encrypt von HTML > Blowfish > str_replace > MSSQL varchar:

PHP-Code:

  $fix_str = mcrypt_encrypt(MCRYPT_BLOWFISH, BLOWFISHKEY, $inhalt, MCRYPT_MODE_ECB);

$fix_str=str_replace("\\","BACKSLASH",$fix_str);

$fix_str=str_replace("/","SLASH",$fix_str);

$fix_str=str_replace("'","SNGLUP",$fix_str);

$fix_str=str_replace('"',"DBLUP",$fix_str);

$inhalt_mssql=str_replace("\0","[NULL]",$fix_str);

Beim Decrypt das ganze in umgekehrter Art:

PHP-Code:

  $inhalt_mssql=str_replace("BACKSLASH","\\",$fix_str);

$fix_str=str_replace("SLASH","/",$fix_str);

$fix_str=str_replace("SNGLUP","'",$fix_str);

$fix_str=str_replace("DBLUP",'"',$fix_str);

$fix_str=str_replace("[NULL]","\0",$fix_str);

$inhalt = mcrypt_decrypt(MCRYPT_BLOWFISH, BLOWFISHKEY, $fix_str, MCRYPT_MODE_ECB);

Vielen Dank für die rasche und kompetente Hilfe

Dark Guardian · 03.01.2012, 22:19

Kannst du den Blowfish Code nicht noch einfach durch Base64 jagen? Spart dir das Replacen.

Jens Clasen · 03.01.2012, 22:22

Da hast Du Dich jetzt aber für die idiotischste Lösung entschieden. Was machst Du, falls Dein Input mal zufällig DBLUP enthält? Mit Deiner Decodierung zerschießt Du Dir da die Daten. Abgesehen davon werden Single-Quotes bei MsSQL gewöhnlich durch zwei aufeinander folgende Quotes maskiert.

Ein weiteres Problem hast Du noch: Von der mssql-Extension ist heutzutage auch weitest gehend abzuraten. Microsoft selbst hat mit sqlserv was neues raus, was sich besser eignet. Alternativ kommt auch PDO in Frage - das kann Prepared Statements und macht Dir auch für Binärdaten das Leben erheblich leichter. Z(Zu Binärdaten sagt Microsoft selbst übrigens kurz und knapp "nicht mit reinem SQL - nimm Prepared Statements für sowas.".

Gruß Jens

boarda · 04.01.2012, 14:42

@Dark_Guardian: Das war des Rätsels Lösung, soetwas schwebte mir von Anfang an vor, hatte davon aber noch nicht gehört.

@Jens: danke man lernt nie aus *idiot*, warum ist von der mssql-Extension abzuraten, kannst du dies bitte spezifizieren?
Soweit ich gesehen habe, bleibt damit die Syntax weitgehend gleich (es gibt nur zb. kein sqlsrv_fetch_assoc , aber mit _array hat man ja quasi das selbe).
Mssql wird von MS nicht mehr weiter unterstützt, womit ich annehme, dass in künftigen Serverversionen nur die sqlserv Extension von Anfang an einwandfrei laufen wird. Hier läuft aber 2003 und MSSQL2000 und dies wird sich auf Kundenseite nicht ändern.

eagle275 · 04.01.2012, 14:52

das hat weniger mit der "Serverversion" zu tun, sondern mit PHP selbst

sowohl die mysql als auch die mssql-Erweiterung gehören definitiv zum GANZ alten Eisen und werden möglicherweise mit einer folgenden PHP-Version nicht mehr ausgeliefert / verfügbar sein. Die Folge wäre das dein Hoster irgendwann beschließt seine Webserver auf neue Software-Versionen umzustellen und dein Script dann "knallt" weil die Datenbankschnittstelle nicht mehr funktioniert und du dir dann unter erschwerten Bedingungen DANN eine neue Datenbankschnittstelle basteln musst.
Daher wäre es günstiger JETZT schon auf die zukunftssichere PDO-Erweiterung zu setzen, die als neuer PHP-Standard wohl nicht so schnell ausgewechselt wird
Obendrein bietet sie mit prepared Statements ein zeitgemäßes Mittel um sämtliche Escaping-Probleme samt SQL-Injections gleich an der Wurzel zu packen bzw gleich ganz zu verhindern

boarda · 04.01.2012, 15:10

Lt. MSDN: The SQLSRV driver does not support SQL Server 2000
Somit bleiben wir bei dem ganz alten Eisen, da dies die Voraussetzungen des Kunden sind (und lt. deren IT so bleibt, da es keinen "Hoster" gibt, sondern die eine eigene Serverfarm unterhalten).

PDO inkl. prepared Statements werd ich mir aber generell mal anschaun für die künftigen Projekte, danke.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

03.01.2012, 13:39
boarda Neuer Benutzer Registriert seit: 03.01.2012 Beiträge: 6 PHP-Kenntnisse: Fortgeschritten	[Erledigt] MSSQL weigert sich blowfish-verschlüsselte Inhalte anzunehmen. Hallo Leute, Leider konnte ich zu meiner Problematik nichts konkretes dazu finden. Problem: Ich möchte den Inhalt einer HTML Email verschlüsselt in der MSSQL Datenbank speichern. Fehler: Code: Warning: mssql_query() [function.mssql-query]: message: Line 1: Incorrect syntax near '�'. (severity 15) in C:\Programme\Apache Software Foundation\Apache2.2\htdocs\save.php on line 164 Warning: mssql_query() [function.mssql-query]: message: The identifier that starts with '�x��d....' is too long. Maximum length is 128. (severity 15) in C:\Prog... Warning: mssql_query() [function.mssql-query]: message: Unclosed quotation mark before the character string 'wq$-�#O�Ѥ!��̊o:�}?(��Ð��'. (severity 15) in C:\Prog... Remotesystem: Win2003 Std, Apache 2.2, Php 5.2.17, MSSQL 2000 Das Feld in der Tabelle ist auf Varchar 5000 gesetzt (der Text als Blowfish sind aktuell 2700 Zeichen). PHP-Code: `$query_inhalt = mcrypt_encrypt(MCRYPT_BLOWFISH, BLOWFISHKEY, $inhalt, MCRYPT_MODE_ECB); $sql = ("UPDATE pakete SET inhalt = '".$query_inhalt."' WHERE code = '".$code."'"); $query = mssql_query($sql)` Die Fehlermeldung kommt wohl aufgrund der speziellen Charaktere zustande, sodass die Query schon vorher abbricht und die darin enthaltenen Sonderzeichen als weitere Queryanweisungen interpretiert. Grüße und ein gutes neues Jahr. Geändert von boarda (03.01.2012 um 14:17 Uhr). Grund: auf hinweis von eagle querystring korrigiert.


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

03.01.2012, 13:50
eagle275 Erfahrener Benutzer Registriert seit: 01.09.2010 Beiträge: 4.561 PHP-Kenntnisse: Fortgeschritten	du musst mindestens erstmal den String-Datenwert im SQL-Befehl in Stringbegrenzer setzen, weil sonst SQL denkt du meinst eine andere Spalte und da knallt es dann PHP-Code: `$query_inhalt = mcrypt_encrypt(MCRYPT_BLOWFISH, BLOWFISHKEY, $inhalt, MCRYPT_MODE_ECB); $sql = ("UPDATE pakete SET inhalt = '".$query_inhalt."' WHERE code = '".$code."'"); $query = mssql_query($sql)` wenn es dann immer noch Probleme gibt, dann musst du das Encoding anständig einstellen __________________ "Irren ist männlich", sprach der Igel und stieg von der Drahtbürste

03.01.2012, 14:49
eagle275 Erfahrener Benutzer Registriert seit: 01.09.2010 Beiträge: 4.561 PHP-Kenntnisse: Fortgeschritten	dann ist es offensichtlich, dass dein Blowfish wohl selbst Hochkomma produziert, die vorzeitig den String beenden für mysql würde ich dir zu mysql_real_escape_string raten bei mssql muss man selbst Hand anlegen oder aber mit prepared Statements (über eine andere Datenbankerweiterung) arbeiten PHP-Code: `$query_inhalt = mcrypt_encrypt(MCRYPT_BLOWFISH, BLOWFISHKEY, $inhalt, MCRYPT_MODE_ECB); $fix_str=stripslashes($query_inhalt); $fix_str=str_replace("'","''",$fix_str); $fix_str=str_replace("\0","[NULL]",$fix_str); $sql = ("UPDATE pakete SET inhalt = '".$fix_str."' WHERE code = '".$code."'"); $query = mssql_query($sql);` versuch es mal damit __________________ "Irren ist männlich", sprach der Igel und stieg von der Drahtbürste

03.01.2012, 15:24
boarda Neuer Benutzer Registriert seit: 03.01.2012 Beiträge: 6 PHP-Kenntnisse: Fortgeschritten	Danke eagle, dass das Blowfish Hochkomma und Backslashes/Slashes produziert ist und der String vorzeitig beendet wird war mir schon klar gewesen, ist in meinem ursprünglichen Text leider nicht ganz ersichtlich. Allerdings hatte ich nicht an die einfache und logische Lösung des replacen der Inhalte gedacht. Wenn ich stripslashes verwenden würde, wäre aber der Blowfish Code zerstört - das muss ja auch wieder decrypted werden, habs nun aber für die relevanten Zeichen händisch gemacht und es funktioniert einwandfrei. Mein Encrypt von HTML > Blowfish > str_replace > MSSQL varchar: PHP-Code: `$fix_str = mcrypt_encrypt(MCRYPT_BLOWFISH, BLOWFISHKEY, $inhalt, MCRYPT_MODE_ECB); $fix_str=str_replace("\\","BACKSLASH",$fix_str); $fix_str=str_replace("/","SLASH",$fix_str); $fix_str=str_replace("'","SNGLUP",$fix_str); $fix_str=str_replace('"',"DBLUP",$fix_str); $inhalt_mssql=str_replace("\0","[NULL]",$fix_str);` Beim Decrypt das ganze in umgekehrter Art: PHP-Code: `$inhalt_mssql=str_replace("BACKSLASH","\\",$fix_str); $fix_str=str_replace("SLASH","/",$fix_str); $fix_str=str_replace("SNGLUP","'",$fix_str); $fix_str=str_replace("DBLUP",'"',$fix_str); $fix_str=str_replace("[NULL]","\0",$fix_str); $inhalt = mcrypt_decrypt(MCRYPT_BLOWFISH, BLOWFISHKEY, $fix_str, MCRYPT_MODE_ECB);` Vielen Dank für die rasche und kompetente Hilfe

03.01.2012, 22:19
Dark Guardian Erfahrener Benutzer Registriert seit: 10.10.2009 Beiträge: 2.629 PHP-Kenntnisse: Fortgeschritten	Kannst du den Blowfish Code nicht noch einfach durch Base64 jagen? Spart dir das Replacen. __________________ "Alles im Universum funktioniert, wenn du nur weißt wie du es anwenden musst".

03.01.2012, 22:22
Jens Clasen Erfahrener Benutzer Registriert seit: 19.06.2009 Beiträge: 837 PHP-Kenntnisse: Fortgeschritten	Da hast Du Dich jetzt aber für die idiotischste Lösung entschieden. Was machst Du, falls Dein Input mal zufällig DBLUP enthält? Mit Deiner Decodierung zerschießt Du Dir da die Daten. Abgesehen davon werden Single-Quotes bei MsSQL gewöhnlich durch zwei aufeinander folgende Quotes maskiert. Ein weiteres Problem hast Du noch: Von der mssql-Extension ist heutzutage auch weitest gehend abzuraten. Microsoft selbst hat mit sqlserv was neues raus, was sich besser eignet. Alternativ kommt auch PDO in Frage - das kann Prepared Statements und macht Dir auch für Binärdaten das Leben erheblich leichter. Z(Zu Binärdaten sagt Microsoft selbst übrigens kurz und knapp "nicht mit reinem SQL - nimm Prepared Statements für sowas.". Gruß Jens

04.01.2012, 14:42
boarda Neuer Benutzer Registriert seit: 03.01.2012 Beiträge: 6 PHP-Kenntnisse: Fortgeschritten	@Dark_Guardian: Das war des Rätsels Lösung, soetwas schwebte mir von Anfang an vor, hatte davon aber noch nicht gehört. @Jens: danke man lernt nie aus idiot, warum ist von der mssql-Extension abzuraten, kannst du dies bitte spezifizieren? Soweit ich gesehen habe, bleibt damit die Syntax weitgehend gleich (es gibt nur zb. kein sqlsrv_fetch_assoc , aber mit _array hat man ja quasi das selbe). Mssql wird von MS nicht mehr weiter unterstützt, womit ich annehme, dass in künftigen Serverversionen nur die sqlserv Extension von Anfang an einwandfrei laufen wird. Hier läuft aber 2003 und MSSQL2000 und dies wird sich auf Kundenseite nicht ändern.

04.01.2012, 14:52
eagle275 Erfahrener Benutzer Registriert seit: 01.09.2010 Beiträge: 4.561 PHP-Kenntnisse: Fortgeschritten	das hat weniger mit der "Serverversion" zu tun, sondern mit PHP selbst sowohl die mysql als auch die mssql-Erweiterung gehören definitiv zum GANZ alten Eisen und werden möglicherweise mit einer folgenden PHP-Version nicht mehr ausgeliefert / verfügbar sein. Die Folge wäre das dein Hoster irgendwann beschließt seine Webserver auf neue Software-Versionen umzustellen und dein Script dann "knallt" weil die Datenbankschnittstelle nicht mehr funktioniert und du dir dann unter erschwerten Bedingungen DANN eine neue Datenbankschnittstelle basteln musst. Daher wäre es günstiger JETZT schon auf die zukunftssichere PDO-Erweiterung zu setzen, die als neuer PHP-Standard wohl nicht so schnell ausgewechselt wird Obendrein bietet sie mit prepared Statements ein zeitgemäßes Mittel um sämtliche Escaping-Probleme samt SQL-Injections gleich an der Wurzel zu packen bzw gleich ganz zu verhindern __________________ "Irren ist männlich", sprach der Igel und stieg von der Drahtbürste

04.01.2012, 15:10
boarda Neuer Benutzer Registriert seit: 03.01.2012 Beiträge: 6 PHP-Kenntnisse: Fortgeschritten	Lt. MSDN: The SQLSRV driver does not support SQL Server 2000 Somit bleiben wir bei dem ganz alten Eisen, da dies die Voraussetzungen des Kunden sind (und lt. deren IT so bleibt, da es keinen "Hoster" gibt, sondern die eine eigene Serverfarm unterhalten). PDO inkl. prepared Statements werd ich mir aber generell mal anschaun für die künftigen Projekte, danke.