Frage zu mysql_real...

Newsscript · 03.12.2006, 20:26

Hi
Ich habe mal ne kurze Frage zu mysql_real_escape_string.
Diese Funktion ist ja dazu da, um sich gegen sql-injection zu schützen.
Reicht es wenn ich POST oder GET-Dateien habe und diese vor ein Eintrag in

die DB. so schütze

PHP-Code:

   mysql_real_escape_string($post['name']);

 
$sql="INSERT INTO tabelle(name) VALUES ('$post['name']')";

Oder hab ich da was durcheinander gebracht bin ein bisschen

03.12.2006, 20:39

Ohne Worte:
http://www.php.net/manual/de/functio...ape-string.php

Flor1an · 03.12.2006, 21:40

Und du musst die Variable schon wieder zuweisen ... sonst bringt das garnix.

Zergling-new · 03.12.2006, 22:17

mysql_real_escape_string() bekommt den String als 1. Parameter übergeben, den es zu escapen gilt. Der Rückgabewert ist der escape-te String.

Zudem erzeugt dein Code einen Parse-Error, so ist es besser:

PHP-Code:

  <?php

$sSQL = sprintf("INSERT INTO tabelle (name) VALUES ('%s')", mysql_real_escape_string($_POST['name']));

?>

Beachte auch die Groß-Kleinschreibung. Sie ist zwar bei MySQL egal, aber bei PHP musst du schon den richtigen Array ansprechen.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Frage zur dauerhaften voting sperre!	litterauspirna	PHP Tipps 2008	19	29.05.2008 16:19
Frage zu spam bots und captcha	litterauspirna	PHP Tipps 2008	6	20.05.2008 23:56
Smarty frage: switch($action)		PHP Tipps 2007	5	30.12.2006 18:07
Frage zu einem mySQL/php/html Konstrukt	<Daniel>	PHP Tipps 2006	5	11.07.2006 16:07
Frage zu Counter		PHP Tipps 2006	1	17.02.2006 21:45
Frage zu grafiken	JohnRambo	PHP Tipps 2005-2	23	16.08.2005 20:57
.htaccess - Frage	Stümper	PHP Tipps 2005	11	30.05.2005 11:56
Performence Frage		PHP-Fortgeschrittene	10	06.05.2005 19:00
Frage zu einem Editformular		PHP Tipps 2005	3	25.04.2005 14:58
mal ne Frage		PHP Tipps 2005	7	14.04.2005 09:46
Hallo und Frage zu dynamischer Veränderung in Textfeldern.		PHP Tipps 2004-2	2	27.12.2004 22:29
[Erledigt] Frage zur Funkrionen?		PHP Tipps 2004-2	10	01.12.2004 09:42
Frage zum Einfügen von Fotos		PHP Tipps 2004	11	26.09.2004 14:28
[Erledigt] Frage!		PHP Tipps 2004	4	27.07.2004 11:25
[Erledigt] fputs frage		PHP Tipps 2004	2	16.07.2004 19:26

03.12.2006, 20:26
Newsscript Benutzer Registriert seit: 18.12.2005 Beiträge: 31	Frage zu mysql_real... Hi Ich habe mal ne kurze Frage zu mysql_real_escape_string. Diese Funktion ist ja dazu da, um sich gegen sql-injection zu schützen. Reicht es wenn ich POST oder GET-Dateien habe und diese vor ein Eintrag in die DB. so schütze PHP-Code: `mysql_real_escape_string($post['name']); $sql="INSERT INTO tabelle(name) VALUES ('$post['name']')";` Oder hab ich da was durcheinander gebracht bin ein bisschen


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

03.12.2006, 20:39
CIX88 Gast Beiträge: n/a	Ohne Worte: http://www.php.net/manual/de/functio...ape-string.php

03.12.2006, 21:40
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	Und du musst die Variable schon wieder zuweisen ... sonst bringt das garnix.

03.12.2006, 22:17
Zergling-new Erfahrener Benutzer Registriert seit: 21.05.2008 Beiträge: 9.937	mysql_real_escape_string() bekommt den String als 1. Parameter übergeben, den es zu escapen gilt. Der Rückgabewert ist der escape-te String. Zudem erzeugt dein Code einen Parse-Error, so ist es besser: PHP-Code: `<?php $sSQL = sprintf("INSERT INTO tabelle (name) VALUES ('%s')", mysql_real_escape_string($_POST['name'])); ?>` Beachte auch die Groß-Kleinschreibung. Sie ist zwar bei MySQL egal, aber bei PHP musst du schon den richtigen Array ansprechen.