Abfrage mit variablen in spaltenname

kosha · 06.02.2012, 13:27

Also ich hab eine tabelle mit etwa folgenden spalten.. 1_wahl 2_wahl 3_wahl
Jetzt wollte ich z.b die Abfrage so machen
"SELECT :wahl FROM ....", array(':wahl' => $int.'_wahl')
Das beste ist ich bekomme nicht den Wert sondern den Spaltennamen zurück den ich unter :wahl definiert habe.. Arbeite mit drupal 7

Was jemand was ich falsch mache

wolf29 · 06.02.2012, 13:32

Schauste mal hier: http://www.dvfux.de/book/export/html/19

mfg Wolf29

kosha · 06.02.2012, 14:03

nee bei drupal 7 ist es nicht mehr so mit %s , %d.

nee also meine Frage war ja ob ich in die Query Statt des gewünschten Spalten namens eine Variable einfügen kann, also einen Platzhalter.

Bsp.

Code:

$query = db_query("SELECT :col FROM ... WHERE ... ", array(':col' = $gewünschteSPALTE);

eagle275 · 06.02.2012, 14:07

im Regelfall kann man diesen bind-Parameter Funktionen gerade KEIN komplettes Array abkippen, Sondern, du musst im Grunde die einzelnen Parameter mit richtigem Format mit einzelnen Array-Elementen bestücken
Und das sollte bei Drupal auch so sein, obwohl ich es noch nicht verwendet habe

Obendrein erscheinen mit fortlaufend nummerierte Spalten als Faildesign

kosha · 06.02.2012, 14:20

ja ne es heisst schon :col => $gewünschteSPALTE (ist auch nur ein Element kein Array mit mehreren SpaltenNamen)

eagle275 · 06.02.2012, 17:56

hmm mal aus der drupal 7 doku :

PHP-Code:

  $result = db_query_range('SELECT n.nid, n.title, n.created

  FROM {node} n WHERE n.uid = :uid', 0, 10, array(':uid' => $uid));

foreach ($result as $record) {

  // Perform operations on $node->title, etc. here.

}

und jetzt bitte keine Bescherde, dass ich db_query_range genommen habe - war halt das erste, das mit passend erschiend um deine Frage zu klären ...

soweit ich das sehe .. liegt die Schuld an deinem Select - Teil vorne ..

du sagst ihm "SELECTIERE MIR TEXT "WAHL" AUS TABELLE XYZ" - dann liefert er dir auch TEXT "WAHL"

du musst dich schon auf eine real existierende Spalte beziehen, und dabei darfst du keine "Ersetzungsparameter" angeben- denn der wird für einen Datenwert gehalten und direkt so wieder zurückgeliefert.

Das kannst du auch in richtigem SQL machen

Code:

SELECT '1' FROM tabelle xyz 
=> 1

das Problem sind gerade die Single-Quotes, die Drupal automatisch um deinen Wert-Parameter :wahl bastelt, denn die Verhindern, dass SQL jenes als Spaltenname identifiziert.

kosha · 07.02.2012, 13:49

Jo hast recht, keine Platzhalter bei der Spaltenwahl... Muss also alle Spalten entnehmen die in Frage kommen könnten.. In meinem Fall aber nicht so schlimm, max 3.

Wenn jetzt aber 1 aus 20 Möglichkeiten in Frage kommt, wird es nicht mehr so effizient...
ist das denn dann spürbar?

eagle275 · 07.02.2012, 15:24

Also erstmal - deine Abfrage geht im Normalfall 1 mal über die Leitung ... da interessieren ein paar Byte mehr "Spaltennamen" NICHT. Das würde sich - wenn - nur in extremen Lastsituationen äußern ...

ABER aus Sicherheitsgründen solltest du generell nur die Spalten auswählen, mit denen du weiterarbeitest - und diese explizit angeben. Du machst dein Programm / Script damit robuster (nur mal beispielsweise angenommen, ein weiterer Programmierer wird darauf angesetzt, mit deiner Datenbank als Basis irgendwelche Statistik-Seiten zu füttern. Der stellt fest, dass er in Datenbank-Tabelle xyz eine weitere Spalte braucht und baut die einfach ein - weil er dabei schludrig ist, hängt er die Spalte aber nicht hinten dran, sondern er würgt sie zwischen 2 bestehende Spalten. Dein Script sammelt die Daten per Select * und erwartet dann [0] , [1],[2],[3] als Datenspalten (per fetch_array) .. und nu hängt da eine neue Spalte dazwischen - ergo dein Script geht nicht mehr richtig) und obendrein - modern in der heutigen Zeit der Datensammler -> Datensparsamkeit ... Daten die dein Script nicht aus der Datenbank holt, können auch nicht so einfach entwendet werden - schon weil der potenzielle Angreifer gar nicht weiß, dass sie existieren

kosha · 08.02.2012, 02:14

ok wie soll der potenzielle Angreifer wissen welche Daten ich aus der DB hole, wenn ich sie nicht anzeige...
kann man die Daten aufgreifen?

akretschmer · 08.02.2012, 08:38

Zitat:

Zitat von kosha

ok wie soll der potenzielle Angreifer wissen welche Daten ich aus der DB hole, wenn ich sie nicht anzeige...
kann man die Daten aufgreifen?

Wenn SQL-Injection geht, fragt man einfach die Katalogtabellen ab.

Andreas

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Abfrage von einer Abfrage		Datenbanken	5	27.01.2011 23:31
[Erledigt] Abfrage über 2 Variablen mit gleicher Priorität	spiderguy	Datenbanken	10	09.09.2010 16:24
PHP5 und Variablen initialisieren	kojak2008	PHP Tipps 2010	9	17.08.2010 14:33
[jQuery] php Variablen verwenden	TroTz	HTML, Usability und Barrierefreiheit	1	21.03.2010 15:41
result Variablen von SQL verbinden	vci	PHP Tipps 2010	15	05.02.2010 19:09
[Erledigt] Variablen aus assoziativem Array generieren	Warlock0	Datenbanken	12	19.01.2010 15:28
SQL abfrage mit variablen geht nicht (verzweifle)	Puiscel	Datenbanken	3	03.07.2009 15:05
PHP variablen Übergabe für MySQL Abfrage	mindenator	PHP Tipps 2008	10	28.12.2008 03:01
LIMIT Abfrage mit Variablen		PHP Tipps 2007	6	14.11.2005 17:41
spaltenname für update aus variablen auslesen		Datenbanken	3	29.07.2005 12:57
php Variablen in MySQL Abfrage verwenden (WHERE Bedingung)		PHP Tipps 2005	20	20.04.2005 20:05
[Erledigt] IF() abfrage in variable packen		PHP Tipps 2005	14	01.04.2005 17:23
Abfrage von Char-Feldern		Datenbanken	9	04.02.2005 14:06
Variablen übergeben bzw. auslesen?		PHP Tipps 2005	4	30.01.2005 03:56
doppelte Variablen abfrage		PHP Tipps 2004	0	03.08.2004 17:23

06.02.2012, 13:27
kosha Benutzer Registriert seit: 15.08.2011 Beiträge: 96 PHP-Kenntnisse: Anfänger	Abfrage mit variablen in spaltenname Also ich hab eine tabelle mit etwa folgenden spalten.. 1_wahl 2_wahl 3_wahl Jetzt wollte ich z.b die Abfrage so machen "SELECT :wahl FROM ....", array(':wahl' => $int.'_wahl') Das beste ist ich bekomme nicht den Wert sondern den Spaltennamen zurück den ich unter :wahl definiert habe.. Arbeite mit drupal 7 Was jemand was ich falsch mache


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

06.02.2012, 13:32
wolf29 Erfahrener Benutzer Registriert seit: 17.03.2010 Beiträge: 1.833 PHP-Kenntnisse: Fortgeschritten	Schauste mal hier: http://www.dvfux.de/book/export/html/19 mfg Wolf29 __________________ while (!asleep()) sheep++; Unterschätze nie jemanden der einen Schritt zurück geht! Er könnte Anlauf nehmen.

06.02.2012, 14:03
kosha Benutzer Registriert seit: 15.08.2011 Beiträge: 96 PHP-Kenntnisse: Anfänger	nee bei drupal 7 ist es nicht mehr so mit %s , %d. nee also meine Frage war ja ob ich in die Query Statt des gewünschten Spalten namens eine Variable einfügen kann, also einen Platzhalter. Bsp. Code: $query = db_query("SELECT :col FROM ... WHERE ... ", array(':col' = $gewünschteSPALTE);

06.02.2012, 14:07
eagle275 Erfahrener Benutzer Registriert seit: 01.09.2010 Beiträge: 4.561 PHP-Kenntnisse: Fortgeschritten	im Regelfall kann man diesen bind-Parameter Funktionen gerade KEIN komplettes Array abkippen, Sondern, du musst im Grunde die einzelnen Parameter mit richtigem Format mit einzelnen Array-Elementen bestücken Und das sollte bei Drupal auch so sein, obwohl ich es noch nicht verwendet habe Obendrein erscheinen mit fortlaufend nummerierte Spalten als Faildesign __________________ "Irren ist männlich", sprach der Igel und stieg von der Drahtbürste

06.02.2012, 14:20
kosha Benutzer Registriert seit: 15.08.2011 Beiträge: 96 PHP-Kenntnisse: Anfänger	ja ne es heisst schon :col => $gewünschteSPALTE (ist auch nur ein Element kein Array mit mehreren SpaltenNamen)

06.02.2012, 17:56
eagle275 Erfahrener Benutzer Registriert seit: 01.09.2010 Beiträge: 4.561 PHP-Kenntnisse: Fortgeschritten	hmm mal aus der drupal 7 doku : PHP-Code: `$result = db_query_range('SELECT n.nid, n.title, n.created FROM {node} n WHERE n.uid = :uid', 0, 10, array(':uid' => $uid)); foreach ($result as $record) { // Perform operations on $node->title, etc. here. }` und jetzt bitte keine Bescherde, dass ich db_query_range genommen habe - war halt das erste, das mit passend erschiend um deine Frage zu klären ... soweit ich das sehe .. liegt die Schuld an deinem Select - Teil vorne .. du sagst ihm "SELECTIERE MIR TEXT "WAHL" AUS TABELLE XYZ" - dann liefert er dir auch TEXT "WAHL" du musst dich schon auf eine real existierende Spalte beziehen, und dabei darfst du keine "Ersetzungsparameter" angeben- denn der wird für einen Datenwert gehalten und direkt so wieder zurückgeliefert. Das kannst du auch in richtigem SQL machen Code: SELECT '1' FROM tabelle xyz => 1 das Problem sind gerade die Single-Quotes, die Drupal automatisch um deinen Wert-Parameter :wahl bastelt, denn die Verhindern, dass SQL jenes als Spaltenname identifiziert. __________________ "Irren ist männlich", sprach der Igel und stieg von der Drahtbürste Geändert von eagle275 (06.02.2012 um 18:00 Uhr).

07.02.2012, 13:49
kosha Benutzer Registriert seit: 15.08.2011 Beiträge: 96 PHP-Kenntnisse: Anfänger	Jo hast recht, keine Platzhalter bei der Spaltenwahl... Muss also alle Spalten entnehmen die in Frage kommen könnten.. In meinem Fall aber nicht so schlimm, max 3. Wenn jetzt aber 1 aus 20 Möglichkeiten in Frage kommt, wird es nicht mehr so effizient... ist das denn dann spürbar?

07.02.2012, 15:24
eagle275 Erfahrener Benutzer Registriert seit: 01.09.2010 Beiträge: 4.561 PHP-Kenntnisse: Fortgeschritten	Also erstmal - deine Abfrage geht im Normalfall 1 mal über die Leitung ... da interessieren ein paar Byte mehr "Spaltennamen" NICHT. Das würde sich - wenn - nur in extremen Lastsituationen äußern ... ABER aus Sicherheitsgründen solltest du generell nur die Spalten auswählen, mit denen du weiterarbeitest - und diese explizit angeben. Du machst dein Programm / Script damit robuster (nur mal beispielsweise angenommen, ein weiterer Programmierer wird darauf angesetzt, mit deiner Datenbank als Basis irgendwelche Statistik-Seiten zu füttern. Der stellt fest, dass er in Datenbank-Tabelle xyz eine weitere Spalte braucht und baut die einfach ein - weil er dabei schludrig ist, hängt er die Spalte aber nicht hinten dran, sondern er würgt sie zwischen 2 bestehende Spalten. Dein Script sammelt die Daten per Select * und erwartet dann [0] , [1],[2],[3] als Datenspalten (per fetch_array) .. und nu hängt da eine neue Spalte dazwischen - ergo dein Script geht nicht mehr richtig) und obendrein - modern in der heutigen Zeit der Datensammler -> Datensparsamkeit ... Daten die dein Script nicht aus der Datenbank holt, können auch nicht so einfach entwendet werden - schon weil der potenzielle Angreifer gar nicht weiß, dass sie existieren __________________ "Irren ist männlich", sprach der Igel und stieg von der Drahtbürste

08.02.2012, 02:14
kosha Benutzer Registriert seit: 15.08.2011 Beiträge: 96 PHP-Kenntnisse: Anfänger	ok wie soll der potenzielle Angreifer wissen welche Daten ich aus der DB hole, wenn ich sie nicht anzeige... kann man die Daten aufgreifen?