Manni2k

Guten Tag,

ich bin gerade dabei ein Nachrichtensystem zu bauen und habe dabei einige Probleme. Ersteinmal zur Einleitung:

jeder Account hat in meiner DB u.a. zwei Datensätze, message_im (Posteingang) und message_out (Postausgang).
Dort speicher ich einen serialize()-String ab, welcher u.a. die Empfangszeit, Überschrift der Nachricht und die Nachricht selbst enthält.

Nun zu den Problemen:

1)
Habe ich einen Text und serialisiere ich ihn, um hn in der DB abzuspeichern, entsteht z.B. folgendes Fragment:

[...]i:1;s:9:"'~*´`\ß"[...]
Der eigentiche text war also: '~*´`\ß

Korrekterweise müsste er als textlänge 7 anzeigen, aber an diese 7 komme ich direkt nicht dran, die kann ich nicht ändern - Die generiert erautomatisch bei serialize().
Wenn er also als textlänge 9 anzeigt, kann ich diesen String nicht unserialisieren. What to do?

2)
Ähnliche Probleme häufen sich:
pro Zeilenumbruch ist die Textlänger immer um einen Zahlenwert zu klein.

Wie kann man diese Probleme am besten lösen?

Vielen Dank schonmal!

MfG,
Sören Jentzsch

Mister Ad

Waq

Vor dem serialize() mit stripslashes() drüberfahren und vor dem Einfügen in die DB entsprechend maskieren, bei MySQL mit mysql_real_escape_string().

Und lies Dir mal an, was slashes, SQL-Injections, Cross-Site-Scripting usw. sind, denn wenn Du noch nie was mit Maskierungen gemacht hast, strotzen deine Scripte zwangsweise vor Sicherheitslücken.

__________________
mod = master of disaster

Zergling-new

Hallo und willkommen im Forum
Ich verstehe gerade nicht was du mit der Textlänge meinst und warum sie relevant ist.
Wie wärs du weist Empfangszeit, Überschrift und Nachricht jeweils eine eigene Spalte in message_im/message_out zu, dann brauchst du auch nicht serialisieren.

Waq

Erst ist ein slash da, dann wieder nicht, und unserialize() erkenne den Inhalt nicht wieder.

__________________
mod = master of disaster

Manni2k

nein, dann denkt die unserialize()-Funktion nach dem " im text wäre schluss
[Beispiel: [...]i:1;s:9:"'~"*´`\ß"[...] ]
Dann wäre nach der Tilde Schluss -.-

Ich habs jetzt einfach folgendermaßen gemacht:
zeichen wie ' und " und \ werden gelöscht. Punkt, aus, fertig.
Müsste alle Probleme erstmal beseitigen (jedenfalls bin ich auf keine mehr gestoßen).

Ich frage mich allerdings gerade, wie man SQL-Injections ausführt, wenn die nachricht nur ein Teil eines serialisierten Strings ist und dieser Teil in Anführungszeichen ohne Unterbruchungen wie ' " und \ auskommt.

Ist doch viel praktischer den ganzen Posteingang oder Postausgang als einen String zu handhaben bzw. als einem Array wenn er unserialisiert wurde.[/quote][/code]

Zergling-new

Nochmal der Hinweis darauf, was du machst ist Bullshit!

Waq

Falsch. PHP-interne Funktionen brauchen keine magix quotes.

Was Du da anstellst ist erstens zu kompliziert und kracht sobald mal ein Zeichen vorkommt, dass Du vergessen hast zu entfernen.

__________________
mod = master of disaster

Manni2k

Ich habe doch die fehlerquellen beseitigt: ', " und \ sind entfernt.
Wo sollte es dann noch krachen?


Wie hättest du es denn gerne?
Ersteinmal "Spalte in message_in" ect. is Quark, nochmal zu meiner DB-Struktur:
Die Tabelle heißt "messages". In ihr gibts Spalten, wie id, acc_id, message_in und message_out. Sollte ich dort ZUSÄTZLICH noch spalten wie empfangszeit ect. machen, müssen die auch Arrays aufnehmen, d.h. ich müsste das wieder mit serialize() lösen. Wie würdest du das gestalten? Ich lasse mich gerne eines besseren belehren, aber dann pack dein Wortschatz wie "Bullshit" schnell mal wieder ein =)

nikosch

wieso nutzt du nicht ne egene tabelle für die nachrichten und verknüpfst die über eine id mit dem enspr. user?
z.b.
ID | Empfangszeit | Überschrift | Nachricht | Typ (in/out)

Manni2k

ja, im nachhinein wäre das sicher eine gute alternative, vielleicht auch die geläufigste.
allerdings, meine ich, wäre die probleme jetzt bei mir beseitigt mit dem entfernen der 3 zeichen.
oder sind mir einige entscheidende vorteile bei deinem vorgeschlagenen system entgangen?