Was bedeutet '".$Variable."' ?

saibot · 29.07.2005, 14:34

Ich wusste leider nicht, wonach ich hier suchen sollte da es sich ja nicht um eine Funktion handelt. Bei der Syntax hab ich nichts gefunden

was hat die Schreibweise mit den Punkten nun zu bedeuten?

Z.B. bei if(UserName='".$name."')

29.07.2005, 14:37

So wie es da steht, ist es kompletter Quatsch, der zu einem parse error führt.

Zu den Punkten: http://php.net/language.operators.string
(aber auch der Teil ist -wie er dasteht- Quatsch mit Soße)

saibot · 29.07.2005, 15:13

naja das mit dem if war blödsinn, aber sowas hier funktioniert:

SELECT xxx FROM yyy WHERE UserName='".$name."' AND ......

Und aus der Zeichenketten-Operation werd ich da ned schlau

29.07.2005, 15:25

PHP-Code:

<?php $query = "SELECT xxx FROM yyy WHERE UserName='".$name."' AND ...... "; ?>

das sind drei Zeichenketten, die miteinander verknüpft werden.
Zuerst das Zeichenkettenliteral SELECT xxx FROM yyy WHERE UserName='
dann die Variable $name
und dann wieder ein Literal, ' AND ......

Mal angenommen $name ist blub, dann entsteht aus den Verknüpfungen die Zeichenkette
SELECT xxx FROM yyy WHERE UserName='blub' AND .....

saibot · 29.07.2005, 15:59

hm, und einfach nur ..... WHERE UserName='$name' ..... würde nicht funktionieren?

29.07.2005, 16:01

Zitat:

Zitat von saibot

hm, und einfach nur ..... WHERE UserName='$name' ..... würde nicht funktionieren?

Wahrscheinlich schon
Ich machs immer so:

PHP-Code:

  <?php

$strQuatsch = "BlaBla = {$varTest} blblblbl";

?>

29.07.2005, 16:09

Es gibt immer den persönlichen Stil beim Coden; der ein macht's, die andere so.

siehe auch: http://php.net/language.types.string

saibot · 29.07.2005, 16:12

ok, danke schonmal.

Jetzt noch ne Frage zu einem Beispiel aus dem PHP Handbuch.
Da steht:

PHP-Code:

  <?php

/**

 * Variable für sichere Verwendung quotieren

 */

function quote_smart($value)

{

   // stripslashes, falls nötig

   if (get_magic_quotes_gpc()) {

       $value = stripslashes($value);

   }

 
   // quotieren, falls kein integer

   if (!is_int($value)) {

       $value = "'" . mysql_real_escape_string($value) . "'";

   }

 
   return $value;

}

 
// verbinden

$link = mysql_connect('mysql_host', 'mysql_user', 'mysql_password')

   OR die(mysql_error());

 
// sichere Anfrage formulieren

$query = sprintf("SELECT * FROM users WHERE user=%s AND password=%s",

           quote_smart($_POST['username']),

           quote_smart($_POST['password']));

 
mysql_query($query);

 
?>

Wenn jetzt der Benutzer aber zum Beispiel eine Zahlenkombination eingibt, wird die dann normalerweise nicht automatisch bei $_POST als String erkannt?
Ich versteh den Sinn nicht, warum abgefragt wird ob es sich um einen Int handelt oder nicht...dürfte der normalerweise garnicht vorkommen?
Und wenn es ein Int wäre, dann würde er ja nicht per '".$intwert."' in den Query-String eingebunden werden, oder?

29.07.2005, 16:27

Ich selbst trenne Strings immer von Variablen.

29.07.2005, 16:33

Ja, per POST übertragene Parameter landen immer als Zeichenketten in $_POST.
So wie die Funktion dort angewendet wird, greift der !is_int()-Part immer.
Aber dieses quote_smart könnte auch mit anderen Parametern aufgerufen werden ...könnte.

Aber sehr schön, Du denkst also mit beim Lesen des Handbuchs.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

29.07.2005, 14:34
saibot Erfahrener Benutzer Registriert seit: 14.07.2005 Beiträge: 122	Was bedeutet '".$Variable."' ? Ich wusste leider nicht, wonach ich hier suchen sollte da es sich ja nicht um eine Funktion handelt. Bei der Syntax hab ich nichts gefunden was hat die Schreibweise mit den Punkten nun zu bedeuten? Z.B. bei if(UserName='".$name."')


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

29.07.2005, 14:37
Gast Beiträge: n/a	So wie es da steht, ist es kompletter Quatsch, der zu einem parse error führt. Zu den Punkten: http://php.net/language.operators.string (aber auch der Teil ist -wie er dasteht- Quatsch mit Soße)

29.07.2005, 15:13
saibot Erfahrener Benutzer Registriert seit: 14.07.2005 Beiträge: 122	naja das mit dem if war blödsinn, aber sowas hier funktioniert: SELECT xxx FROM yyy WHERE UserName='".$name."' AND ...... Und aus der Zeichenketten-Operation werd ich da ned schlau

29.07.2005, 15:25
Gast Beiträge: n/a	PHP-Code: `<?php $query = "SELECT xxx FROM yyy WHERE UserName='".$name."' AND ...... "; ?>` das sind drei Zeichenketten, die miteinander verknüpft werden. Zuerst das Zeichenkettenliteral SELECT xxx FROM yyy WHERE UserName=' dann die Variable $name und dann wieder ein Literal, ' AND ...... Mal angenommen $name ist blub, dann entsteht aus den Verknüpfungen die Zeichenkette SELECT xxx FROM yyy WHERE UserName='blub' AND .....

29.07.2005, 15:59
saibot Erfahrener Benutzer Registriert seit: 14.07.2005 Beiträge: 122	hm, und einfach nur ..... WHERE UserName='$name' ..... würde nicht funktionieren?

29.07.2005, 16:09
Gast Beiträge: n/a	Es gibt immer den persönlichen Stil beim Coden; der ein macht's, die andere so. siehe auch: http://php.net/language.types.string

29.07.2005, 16:12
saibot Erfahrener Benutzer Registriert seit: 14.07.2005 Beiträge: 122	ok, danke schonmal. Jetzt noch ne Frage zu einem Beispiel aus dem PHP Handbuch. Da steht: PHP-Code: <?php /** * Variable für sichere Verwendung quotieren / function quote_smart($value) { // stripslashes, falls nötig if (get_magic_quotes_gpc()) { $value = stripslashes($value); } // quotieren, falls kein integer if (!is_int($value)) { $value = "'" . mysql_real_escape_string($value) . "'"; } return $value; } // verbinden $link = mysql_connect('mysql_host', 'mysql_user', 'mysql_password') OR die(mysql_error()); // sichere Anfrage formulieren $query = sprintf("SELECT FROM users WHERE user=%s AND password=%s", quote_smart($_POST['username']), quote_smart($_POST['password'])); mysql_query($query); ?> Wenn jetzt der Benutzer aber zum Beispiel eine Zahlenkombination eingibt, wird die dann normalerweise nicht automatisch bei $_POST als String erkannt? Ich versteh den Sinn nicht, warum abgefragt wird ob es sich um einen Int handelt oder nicht...dürfte der normalerweise garnicht vorkommen? Und wenn es ein Int wäre, dann würde er ja nicht per '".$intwert."' in den Query-String eingebunden werden, oder?

29.07.2005, 16:27
Gast Beiträge: n/a	Ich selbst trenne Strings immer von Variablen.

29.07.2005, 16:33
Gast Beiträge: n/a	Ja, per POST übertragene Parameter landen immer als Zeichenketten in $_POST. So wie die Funktion dort angewendet wird, greift der !is_int()-Part immer. Aber dieses quote_smart könnte auch mit anderen Parametern aufgerufen werden ...könnte. Aber sehr schön, Du denkst also mit beim Lesen des Handbuchs.