[Erledigt] SQL Abfrage escapen

wooha · 18.04.2011, 09:59

Hallo,

ich habe folgende SQL:

PHP-Code:

  $query = "INSERT INTO

                        tbl_temp (apidnr, sku, herstnr, ean, ben, ekpreis, vknetto, vkbrutto, vkkalk)

                      VALUES

                          ('" . $res['apidnr'] . "', 

                          '" . $res['aranummer'] . "', 

                          '" . $res['arherstnr'] . "', 

                          '" . $res['areancode'] . "', 

                          '" . $res['arben'] . "',

                          '" . $res['aeekpreis'] . "', 

                          '" . $res['apvkpreis1'] . "', 

                          '" . $res['apvkbrutt1'] . "', 

                          '" . $res['apvkproz1'] . "')";

Wenn ich die Abfrage ausführe bekomme ich folgende Fehlermeldung:

PHP-Code:

  Beginn: 18.04.2011 09:52 Database error: Invalid SQL: INSERT INTO tbl_temp (apidnr, sku, herstnr, ean, ben, ekpreis, vknetto, vkbrutto, vkkalk) VALUES ('43857', '44925 ', '999 15 313', '4021114138898', 'T-Mobile web'n'walk Stick IV - Wireless Cellular Modem - extern (ohne SIM-Lock)', '35.70', '39.41', '46.90', '10.39')

 
MySQL Error: 1064 (You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''walk Stick IV - Wireless Cellular Modem - extern (ohne SIM-Lock)', ' at line 8)

Der Fehler liegt an dem Wert 'T-Mobile web'n'walk Stick IV - Wireless Cellular Modem - extern (ohne SIM-Lock)' der in $res['arben'] steht, da ja Hochkommas enthalten sind.

Jetzt müsste ich ja die Hochkommas in der Art escapen wenn ich das richtig verstanden habe: \'

Aber wie mache ich das in Bezug auf die Variable? Ich habe schon einige Sachen ausprobiert, z.B. '\" . $res['arben'] . "\', stehe aber irgendwie auf dem Schlauch und bekomme es nicht hin.

Danke für die Hilfe,

wooha

tr0y · 18.04.2011, 10:01

mysql_real_escape_string auf die jeweiligen $res-Konkatinierungselemente.

eagle275 · 18.04.2011, 10:02

da du die mysql-Erweiterung benutzt (zu erkennen an mysql_query usw) ...

schau dir mal mysql_real_escape_string( ) an. Diese Funktion wurde genau für 2 Zwecke geschaffen ...

1) SQL-Injections verhindern
2) Speichern von Zeichen in der Datenbank, die Probleme machen oder gefährlich sind

(in der Reihenfolge, weil 2) quasi 1) im Vorbeigehen mit erledigt)

guckst du hier für Anwendung und Syntax http://de3.php.net/manual/de/functio...ape-string.php

wooha · 18.04.2011, 10:13

Danke für die schnellen Antworten, klappt super mit mysql_real_escape_string().

Grüße wooha

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[Erledigt] Verdraxte Abfrage von 2 SQL Tabellen	EmmKey	PHP Einsteiger	7	15.03.2011 12:21
[Erledigt] SQL zweistufige Abfrage	Elefterios	Datenbanken	12	13.03.2011 15:23
SQL Abfrage INNER JOIN etc.	chr1s-eg	Datenbanken	4	01.03.2011 13:37
SQL Abfrage - Summieren mehrerer Werte eines Datensatzes	themk#	Datenbanken	7	15.02.2011 16:42
SQL abfrage etwas kleines stimmt nicht???	JackD	PHP Einsteiger	6	14.02.2011 23:01
Array aus SQL Abfrage zusammenbauen um es rekursiv abzuarbeiten	litterauspirna	PHP Einsteiger	7	01.02.2011 18:44
SQL Abfrage mehrer Kategorien einer Verknüpfungstabelle	sven.	Datenbanken	3	19.01.2011 11:38
Werte mehrerer Checkboxen für SQL Abfrage übernehmen?	krais	PHP Einsteiger	4	14.01.2011 21:24
SQL Abfrage von Autoren	$$$ ThiKool $$$	PHP Einsteiger	1	12.01.2011 16:08
Umlaute (Ã¤) in der SQL Abfrage	noop	Datenbanken	5	09.01.2011 23:06
[Erledigt] Mehr als eine SQL Abfrage hintereinander.	Seebär	PHP Einsteiger	5	29.12.2010 15:44
erweitere sql abfrage	Helix	PHP Einsteiger	5	27.12.2010 04:11
False Abfrage und SQL hängt sich auf	marc77	Datenbanken	4	22.11.2010 14:57
Wie geht diese SQL Abfrage?	marc77	Datenbanken	5	13.11.2010 12:50
[Erledigt] sql abfrage mit Tabelle in der $ Zeichn vorkommt	dior	Datenbanken	5	09.11.2010 13:05

18.04.2011, 09:59
wooha Neuer Benutzer Registriert seit: 08.04.2011 Beiträge: 25 PHP-Kenntnisse: Anfänger	[Erledigt] SQL Abfrage escapen Hallo, ich habe folgende SQL: PHP-Code: $query = "INSERT INTO tbl_temp (apidnr, sku, herstnr, ean, ben, ekpreis, vknetto, vkbrutto, vkkalk) VALUES ('" . $res['apidnr'] . "', '" . $res['aranummer'] . "', '" . $res['arherstnr'] . "', '" . $res['areancode'] . "', '" . $res['arben'] . "', '" . $res['aeekpreis'] . "', '" . $res['apvkpreis1'] . "', '" . $res['apvkbrutt1'] . "', '" . $res['apvkproz1'] . "')"; Wenn ich die Abfrage ausführe bekomme ich folgende Fehlermeldung: PHP-Code: Beginn: 18.04.2011 09:52 Database error: Invalid SQL: INSERT INTO tbl_temp (apidnr, sku, herstnr, ean, ben, ekpreis, vknetto, vkbrutto, vkkalk) VALUES ('43857', '44925 ', '999 15 313', '4021114138898', 'T-Mobile web'n'walk Stick IV - Wireless Cellular Modem - extern (ohne SIM-Lock)', '35.70', '39.41', '46.90', '10.39') MySQL Error: 1064 (You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''walk Stick IV - Wireless Cellular Modem - extern (ohne SIM-Lock)', ' at line 8) Der Fehler liegt an dem Wert 'T-Mobile web'n'walk Stick IV - Wireless Cellular Modem - extern (ohne SIM-Lock)' der in $res['arben'] steht, da ja Hochkommas enthalten sind. Jetzt müsste ich ja die Hochkommas in der Art escapen wenn ich das richtig verstanden habe: \' Aber wie mache ich das in Bezug auf die Variable? Ich habe schon einige Sachen ausprobiert, z.B. '\" . $res['arben'] . "\', stehe aber irgendwie auf dem Schlauch und bekomme es nicht hin. Danke für die Hilfe, wooha


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

18.04.2011, 10:01
tr0y Erfahrener Benutzer Registriert seit: 26.07.2010 Beiträge: 4.870 PHP-Kenntnisse: Fortgeschritten	mysql_real_escape_string auf die jeweiligen $res-Konkatinierungselemente. __________________ Lasse mir ohne Anwendung von Gewalt Dinge schenken, Amazon weiß darüber bald mehr.

18.04.2011, 10:02
eagle275 Erfahrener Benutzer Registriert seit: 01.09.2010 Beiträge: 4.561 PHP-Kenntnisse: Fortgeschritten	da du die mysql-Erweiterung benutzt (zu erkennen an mysql_query usw) ... schau dir mal mysql_real_escape_string( ) an. Diese Funktion wurde genau für 2 Zwecke geschaffen ... 1) SQL-Injections verhindern 2) Speichern von Zeichen in der Datenbank, die Probleme machen oder gefährlich sind (in der Reihenfolge, weil 2) quasi 1) im Vorbeigehen mit erledigt) guckst du hier für Anwendung und Syntax http://de3.php.net/manual/de/functio...ape-string.php __________________ "Irren ist männlich", sprach der Igel und stieg von der Drahtbürste

18.04.2011, 10:13
wooha Neuer Benutzer Registriert seit: 08.04.2011 Beiträge: 25 PHP-Kenntnisse: Anfänger	Danke für die schnellen Antworten, klappt super mit mysql_real_escape_string(). Grüße wooha