Hallo,

ich habe nun schon fast 2 Stunden lang in Google gesucht, bin aber leider nicht fündig geworden.

Ziel: Ich möchte aufgerufene SQL Befehle in einer Tabelle speichern.. (MySQL)
Warum: Dient als Log/History
Problem: MySQL interpretiert die Befehle (die in $sql gespeichert sind)

=> ... "(INSERT INTO log (CMD) VALUES('".$sql."')";


Weiß jemand eine Lösung?

Mister Ad

Ist ja logisch. Du solltest den String davor natürlich auch entwerten: addslashes()
Kannst ihn aber auch codieren. z.B. rawurlencode().
Was Dir lieber ist.

axo

mysql_real_escape_string()
übrigens unterhält mysql eigene logfiles; stellt sich halt die frage, ob du das rad wirklich neu erfinden musst.

Ja sicher is mir das logisch, nur komm mal mit Google auf die Lösung.. quasi unmöglich.

Ich dank dir herzlichst!


Grüße

Sebastian

robo47

also addslashes ist unterstes mysql-wissens-niveau im umgang mit php und mysql.
Du solltest vieleicht mal ein passendes Tutorial komplett durcharbeiten.
http://tut.php-q.net/mysql.html

mfg
robo47

__________________
robo47.net - Blog, Codeschnipsel und mehr
| Caching-Klassen und Opcode Caches in php | Robo47 Components - PHP Library extending Zend Framework

Nun ja, sicher ist es das. Den Link hab ich auch schonmal durchgearbeitet.. ich kam nur nich auf die Befehle.

Nebenbei.. warum klassifizieren die MySQL Entwickler den SQL-Parser nicht einfach so, das Zeichenketten innerhalb von '' nicht geparst werden... würde die komplette "Sicherheitslücke" schließen. (Denn wenn man als Ergebnis ein SQL Statement verwendet, für Texte zum Beispiel, benötigt man die sonst so notwendigen >'< nicht.)

axo

weil andere konstrukte mit SQL sonst nicht funktionieren würden.
die welt ist größer als der spucknapf, in dem du dich befindest; die entwickler von mysql haben nicht schuld daran, dass du ein blutiger anfänger bist und datenbank-abfragen nicht selbst absichern kannst.

ergo:
mysql_real_escape_string() oder mysql_escape_string() verwenden ( addslashes() knicken und vergessen), und viele viele manuals und bücher durcharbeiten, bevor du wieder kritik an den softwareprodukten anderer ablassen darfst.

Berechtigt dich meine Frage (keine Kritik!) zum niederen abstempeln meiner Selbst?

Btw. bevor du mich weiterhin als blutiger Anfänger darstellst.. ich programmiere schon seit 1994 in diversen Sprachen, beruflich und privat, (C/C++, Basic, Delphi, Java, usw..) und mein Beitrag war keine Kritik sondern eine Frage, warum das nicht möglich ist.
Ich habe damals persönlich, ich glaube (My)SQL stand noch in den Kinderschuhen, an einer eigenen Datenbank gearbeitet (PGDatabase). Diese war ähnlich aufgebaut wie MySQL und daher erlaube ich mir das Recht nachzufragen, was meiner Idee im Wege stehe.

Naja das hier wird ziemlich Offtopic.., ich danke dennoch für die Hinweise und wünsche allen weiterhin einen wunderschönen sonnigen Dienstag.

Thice

Den sonnigen Dienstag hab ich hier... *schwitz*

Woher soll MySQL denn wissen was denn nun zu deinem "Insert-Wert" gehört und was nicht? Dein geloggter String kann ja genauso Ticks enthalten, wie der eigentliche Query.

MfG
Andy

__________________
kintzebros.de | KintzeBros Home Entertainment
2061. Nach dem Frieden | kurzfilm
Paula | spielfilm

axo

ja, durchaus, du hast aber bereits mit der problemstellung ins klo gegriffen - die letzte frage war dann nur noch das sahnehäubchen.
wenn du nach 11 jahren immer noch nicht weißt, was RTFM bedeutet, tut's mir echt leid.

in diesem fall verstehe ich dann gar nicht mehr, wie du überhaupt auf die idee kommst, überhaupt manuell queries zu loggen - und nicht beispielsweise mal nachschaust, ob mysql das ganze eh schon macht.

danke, war bewölkt und schwül. ein dreckstag zum programmieren.