% in SQL Anweisungen die durch vsprintf() verarbeitet werden

lindner · 28.07.2007, 12:04

Hallo liebe Gemeinde,

ich habe folgendes Problem. Um SQL Injections in meiner Webseite zu umgehen, hab ich dafür eine Funktion geschrieben. Ungefähr so:

PHP-Code:

  <?php

$sSql = sprintf("SELECT `col1`, `col2` FROM `table` WHERE `id` = %u AND `name` = '%s'", $_GET['id'], $this->_quoteValue($_GET['name']));

?>

nun habe ich folgendes Problem. Wenn ich jetzt eine SQL Anweisung habe in der in der WHERE Anweisung ein LIKE vorkommt, versucht sprintf() dieses natürlich mit zu verarbeiten.

Bsp:

Code:

SELECT `Id` FROM `tabelle` WHERE `name` LIKE '%wurst%'

bei mir müsste das dann ja so aussehen.

Code:

SELECT `Id` FROM `tabelle` WHERE `name` LIKE '%%s%'

wie kann ich php begreiflich machen, dass es das erste und das letzte % "in ruhe lassen soll" ??

habs schon mit / oder \ versucht, oder auch %%.. aber das funktioniert alles nicht. und bei der suche nach eine lösung, hab ich nichts gefunden.

ich würde mich freuen, wenn da jemand was wüsste.
viele grüße

lindner

nikosch · 28.07.2007, 15:14

%% ist aber richtig. Die Lösung wäre dann bspw.

Code:

SELECT `Id` FROM `tabelle` WHERE `name` LIKE '%%%s%%'

Zitat:

Zitat von lindner

Hallo liebe Gemeinde

Amen.
.

Zergling-new · 31.07.2007, 20:30

Zitat:

Zitat von lindner

und bei der suche nach eine lösung, hab ich nichts gefunden.

Such das nächste mal zuerst im Manual:
http://de.php.net/sprintf

Zitat:

Jede der Formatierugs-Anweisungen besteht aus einem Prozent-Zeichen (%), gefolgt von einem oder mehrereren der folgenden Elemente:
[..]
% - ein Prozent-Zeichen ("%"). Es ist kein Argument erforderlich.

Es ist ganz einfach:
Google -> "sprintf site

hp.net" -> Fertig.

KingCrunch · 01.08.2007, 02:52

Meistens reicht scho "php [funktiosname]"

Zergling-new · 01.08.2007, 14:04

Ja dann landet man manchmal auf irgendwelchen phpforum.de oder phpcenter.de Manual-Kopien, deren Aktualität bestimmt nicht besser als das Original ist.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Bestimmten Befehl der HTML verarbeitet	Gokel	PHP Tipps 2008	19	16.07.2008 00:13
Anweisungen, Befehlen und Funktionen	guenterfrosch	PHP Tipps 2006	7	08.10.2006 13:37
Formularstring wird nicht verarbeitet	nieselfriem	PHP Tipps 2006	8	07.08.2006 16:17
Kommentare in MySQL Anweisungen	Tommek	Datenbanken	5	02.05.2006 15:48
Formular wird nicht verarbeitet	Netdeus	Server, Hosting und Workstations	4	11.04.2006 12:04
[JavaScript] Anweisung(en) kapseln	winfo_cologne	HTML, Usability und Barrierefreiheit	4	15.09.2005 16:14
txt-Datei wird nicht verarbeitet		PHP Tipps 2005	6	01.06.2005 15:38
[Erledigt] Probleme mit Anweisungen in If-Funktion		PHP Tipps 2005	4	21.02.2005 15:31
[Erledigt] Mehrere Anweisungen in onMouseOver		HTML, Usability und Barrierefreiheit	4	24.11.2004 16:56
IMPORT von UPDATE Anweisungen aus txt-File...		Datenbanken	1	05.11.2004 08:48
[Erledigt] Problem mit if Anweisungen		PHP Tipps 2004	2	21.10.2004 16:02
Path Anweisungen und ihre Folgen		PHP Tipps 2004	5	15.10.2004 19:27
mysql anweisungen verbinden	Anuschka	Datenbanken	3	15.09.2004 11:50
select query durch if anweisungen splitten		Datenbanken	6	06.09.2004 13:46
Anfängerproblem .php-dateien werden nicht verarbeitet		PHP Tipps 2004	2	11.06.2004 11:51

28.07.2007, 12:04
lindner Erfahrener Benutzer Registriert seit: 25.05.2004 Beiträge: 229	% in SQL Anweisungen die durch vsprintf() verarbeitet werden Hallo liebe Gemeinde, ich habe folgendes Problem. Um SQL Injections in meiner Webseite zu umgehen, hab ich dafür eine Funktion geschrieben. Ungefähr so: PHP-Code: <?php $sSql = sprintf("SELECT `col1`, `col2` FROM `table` WHERE `id` = %u AND `name` = '%s'", $_GET['id'], $this->_quoteValue($_GET['name'])); ?> nun habe ich folgendes Problem. Wenn ich jetzt eine SQL Anweisung habe in der in der WHERE Anweisung ein LIKE vorkommt, versucht sprintf() dieses natürlich mit zu verarbeiten. Bsp: Code: SELECT `Id` FROM `tabelle` WHERE `name` LIKE '%wurst%' bei mir müsste das dann ja so aussehen. Code: SELECT `Id` FROM `tabelle` WHERE `name` LIKE '%%s%' wie kann ich php begreiflich machen, dass es das erste und das letzte % "in ruhe lassen soll" ?? habs schon mit / oder \ versucht, oder auch %%.. aber das funktioniert alles nicht. und bei der suche nach eine lösung, hab ich nichts gefunden. ich würde mich freuen, wenn da jemand was wüsste. viele grüße lindner


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

01.08.2007, 02:52
KingCrunch Erfahrener Benutzer Registriert seit: 13.08.2007 Beiträge: 1.976	Meistens reicht scho "php [funktiosname]" __________________ Nicht jeder Fehler ist ein Bug.

01.08.2007, 14:04
Zergling-new Erfahrener Benutzer Registriert seit: 21.05.2008 Beiträge: 9.937	Ja dann landet man manchmal auf irgendwelchen phpforum.de oder phpcenter.de Manual-Kopien, deren Aktualität bestimmt nicht besser als das Original ist.