mysql_real_escape_string zerschießt sonderzeichen?

Screeze · 25.02.2009, 16:39

Ich hab n eigenartiges Problem.

Ich kann mit einem Formular (auf adminebene) beiträge erstellen.

beim erstellen gibts keine probleme, da benutze ich natürlich eine INSERT befehl und benutze auch mysql_real_escape_string.

die beiträge kann man aber auch bearbeiten.
Im Editor landet der text aus der DB wie er soll, da man im spaw2 editor, den ich verwende, auch den html text der eingabe ansehen kann, sehe ich auch dass z.b.

Code:

<img border="0" alt="" src="/uploads/images/avatar-totenkopf.gif" />

richtig wieder reingeschrieben wird in das bearbeiten feld.

Zum bearbeiten benutze ich dann nach prüfung ect. diesen befehl

PHP-Code:

  mysql_query("UPDATE `" .db_tableprefix. "posts` SET `title` = '". mysql_real_escape_string($title) . "', `post` = '" . mysql_real_escape_string($post) . "', `BeCommented` = '" . mysql_real_escape_string($commented) . "', `language` = '" . mysql_real_escape_string($language) . "' WHERE `PostId` = '" .mysql_real_escape_string($PostId). "' AND `language` = '" . mysql_real_escape_string($lang) . "'");

Der ist fast gleich mit dem Insert befehl.

wenn ich vor dem Update befehl die daten ausgeben lasse, sind sie noch korrekt vorhanden (ich dachte villeicht auf dem weg zum db befehl schon zerschossen, ist aber nicht so)
aber in der datenbank landen die werte dann so

Code:

<img border=\"0\" alt=\"\" src=\"/uploads/images/avatar-totenkopf.gif\" />

demnach sind dann sämtlichen html tags zerschossen, und auch bei normalen sonerzeichen wie ' \ ect. wird es beim bearbeiten immer escaped in die db geschrieben.

wo könnte da der fehler liegen?

nikosch · 25.02.2009, 16:42

magic quotes?

litterauspirna · 25.02.2009, 16:46

Bei der Ausgabe die Output Variable mit stripslashes versehen? Ich hatte so ein Problem auch mal. Da habe ich das so gemacht und ging. Wieso wendest du in der Where Clausel auf eine ID mysql_real_escape_string() an und nicht intval() oder int(). Oder ist die postID gar kein Integer?

Screeze · 25.02.2009, 16:51

in dem fall müsste doch schon beim neuerstellen der einträge das problem auftreten oder?

Screeze · 25.02.2009, 17:11

grr also das mit der freischaltung is echt nervig

natürlich hats du recht, es reicht aus (int) zu benutzen, habe es geändert.

aber jede ausgabe mit strip slashes zu versehen is wohl eher n workaround oder?
es wird ja wohl die möglichkeit geben das ganze korrekt in die datenbank zu setzen...

litterauspirna · 25.02.2009, 17:15

Naja ist denn bei dir magic_quotes auf on und du escapest vorher nicht, sodas da doppelt escaped wird? Das führt nämlich zu diesem Fehler zum Beispiel. Oder eben vor der Ausgabe die Variable mit stripslashes behandeln dann dürfte das Problem auch behoben sein.

nikosch · 25.02.2009, 17:23

Vielleicht macht der Editor das auch? Mach doch mal ein Dump vor den DB Eintrag.

Screeze · 25.02.2009, 17:29

dump?

also der editor machts eher nicht.
wenn ich direkt vor dem update insert das ganze ausgeben lasse (da ich sonst weitergeleitet werde lass ichs per js anzeigen)

PHP-Code:

  echo '<script type="text/javascript"> alert("' . $PostId . '\n' . $post . '");</script>';

da passt noch alles. konrekt also:

PHP-Code:

  function SaveEditPost($PostId, $lang, $title, $post, $commented, $language) {

    echo '<script type="text/javascript"> alert("' . $PostId . '\n' . $post . '");</script>';

 
    mysql_query("UPDATE `" .db_tableprefix. "posts` SET `title` = '". mysql_real_escape_string($title) . "', `post` = '" . mysql_real_escape_string($post) . "', `BeCommented` = '" . mysql_real_escape_string($commented) . "', `language` = '" . mysql_real_escape_string($language) . "' WHERE `PostId` = '" .(int)$PostId. "' AND `language` = '" . mysql_real_escape_string($lang) . "'");

    

}

beim echo passts noch^^

litterauspirna · 25.02.2009, 17:32

Du lässt also nach dem absenden noch ma eine Kontrollausgabe machen? Und dann erst bei erneuten Klick wird es eingeschrieben?

Screeze · 25.02.2009, 17:35

ok also, magic_quotes sind an,
aber wenn ich z.b. das korrekte html tag erst beim editieren des beitrags einfüge, wird es auch zerschossen.

Warum wird es beim insert nicht zerschossen, beim update aber schon? das kann wohl eher nicht an magic_quotes liegen oder?

falls doch: ich habe keinen zugriff auf die einstellungen des server, .htaccess will ich nicht benutzen, kann ich das trotzdem vor dem in db schreiben abfangen?

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Falsche Sonderzeichen beim Senden von Daten	smilla	PHP Tipps 2009	2	16.02.2010 11:55
Sonderzeichen verarbeiten mit PHP und JavaScript/AJAX	Sirke	PHP Tipps 2008	1	25.12.2008 20:54
Probleme mit Sonderzeichen bei Ajax (prototype)...	go1denboy	JavaScript, Ajax und mehr	1	31.08.2008 18:44
Die Sache mit den Sonderzeichen nach und vor Formularprüfung	TailerD	PHP Tipps 2006	12	02.06.2006 12:58
Sonderzeichen mit Semikolon in einer Abfrage		PHP Tipps 2006	17	04.02.2006 11:34
Wikipedia, Sonderzeichen und file_get_contents();	pb	PHP Tipps 2006	2	20.01.2006 20:02
[Erledigt] Problem mit Sonderzeichen PHP -> MySQL -> HTML		PHP Tipps 2007	18	07.12.2005 15:23
Liste nach Buchstaben und Sonderzeichen (!) sortiert	odaa	PHP-Fortgeschrittene	8	11.10.2005 16:26
sonderzeichen filtern/suchen	socke	PHP Tipps 2005-2	8	22.09.2005 07:01
[Erledigt] Sonderzeichen: &#8805;		Datenbanken	2	19.09.2005 16:54
Login Probleme mit Sonderzeichen im Nick		PHP Tipps 2005-2	11	21.08.2005 16:54
Sonderzeichen Funktion	JeeZ	PHP Tipps 2005-2	4	07.07.2005 21:32
Sonderzeichen in der Tabelle	Mutatos	Datenbanken	4	17.03.2005 15:28
Sonderzeichen über $_GET	Calexico	PHP Tipps 2005	1	10.02.2005 17:40
[Erledigt] sonderzeichen im browser?		PHP-Fortgeschrittene	1	12.10.2004 14:29

25.02.2009, 16:39
Screeze Erfahrener Benutzer Registriert seit: 04.01.2009 Beiträge: 844 PHP-Kenntnisse: Fortgeschritten	mysql_real_escape_string zerschießt sonderzeichen? Ich hab n eigenartiges Problem. Ich kann mit einem Formular (auf adminebene) beiträge erstellen. beim erstellen gibts keine probleme, da benutze ich natürlich eine INSERT befehl und benutze auch mysql_real_escape_string. die beiträge kann man aber auch bearbeiten. Im Editor landet der text aus der DB wie er soll, da man im spaw2 editor, den ich verwende, auch den html text der eingabe ansehen kann, sehe ich auch dass z.b. Code: <img border="0" alt="" src="/uploads/images/avatar-totenkopf.gif" /> richtig wieder reingeschrieben wird in das bearbeiten feld. Zum bearbeiten benutze ich dann nach prüfung ect. diesen befehl PHP-Code: mysql_query("UPDATE `" .db_tableprefix. "posts` SET `title` = '". mysql_real_escape_string($title) . "', `post` = '" . mysql_real_escape_string($post) . "', `BeCommented` = '" . mysql_real_escape_string($commented) . "', `language` = '" . mysql_real_escape_string($language) . "' WHERE `PostId` = '" .mysql_real_escape_string($PostId). "' AND `language` = '" . mysql_real_escape_string($lang) . "'"); Der ist fast gleich mit dem Insert befehl. wenn ich vor dem Update befehl die daten ausgeben lasse, sind sie noch korrekt vorhanden (ich dachte villeicht auf dem weg zum db befehl schon zerschossen, ist aber nicht so) aber in der datenbank landen die werte dann so Code: <img border=\"0\" alt=\"\" src=\"/uploads/images/avatar-totenkopf.gif\" /> demnach sind dann sämtlichen html tags zerschossen, und auch bei normalen sonerzeichen wie ' \ ect. wird es beim bearbeiten immer escaped in die db geschrieben. wo könnte da der fehler liegen?


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

25.02.2009, 16:42
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.989 PHP-Kenntnisse: Fortgeschritten	magic quotes? __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

25.02.2009, 16:46
litterauspirna Erfahrener Benutzer Registriert seit: 24.04.2008 Beiträge: 3.172 PHP-Kenntnisse: Anfänger	Bei der Ausgabe die Output Variable mit stripslashes versehen? Ich hatte so ein Problem auch mal. Da habe ich das so gemacht und ging. Wieso wendest du in der Where Clausel auf eine ID mysql_real_escape_string() an und nicht intval() oder int(). Oder ist die postID gar kein Integer? __________________ Aus dem Dynamo Lande kommen wir. Trinken immer reichlich kühles Bier. Und dann sind wir alle voll, die Stimmung ist so toll. Aus dem Dynamo Lande kommen wir. http://www.lit-web.de

25.02.2009, 16:51
Screeze Erfahrener Benutzer Registriert seit: 04.01.2009 Beiträge: 844 PHP-Kenntnisse: Fortgeschritten	in dem fall müsste doch schon beim neuerstellen der einträge das problem auftreten oder?

25.02.2009, 17:11
Screeze Erfahrener Benutzer Registriert seit: 04.01.2009 Beiträge: 844 PHP-Kenntnisse: Fortgeschritten	grr also das mit der freischaltung is echt nervig natürlich hats du recht, es reicht aus (int) zu benutzen, habe es geändert. aber jede ausgabe mit strip slashes zu versehen is wohl eher n workaround oder? es wird ja wohl die möglichkeit geben das ganze korrekt in die datenbank zu setzen...

25.02.2009, 17:15
litterauspirna Erfahrener Benutzer Registriert seit: 24.04.2008 Beiträge: 3.172 PHP-Kenntnisse: Anfänger	Naja ist denn bei dir magic_quotes auf on und du escapest vorher nicht, sodas da doppelt escaped wird? Das führt nämlich zu diesem Fehler zum Beispiel. Oder eben vor der Ausgabe die Variable mit stripslashes behandeln dann dürfte das Problem auch behoben sein. __________________ Aus dem Dynamo Lande kommen wir. Trinken immer reichlich kühles Bier. Und dann sind wir alle voll, die Stimmung ist so toll. Aus dem Dynamo Lande kommen wir. http://www.lit-web.de

25.02.2009, 17:23
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.989 PHP-Kenntnisse: Fortgeschritten	Vielleicht macht der Editor das auch? Mach doch mal ein Dump vor den DB Eintrag. __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

25.02.2009, 17:29
Screeze Erfahrener Benutzer Registriert seit: 04.01.2009 Beiträge: 844 PHP-Kenntnisse: Fortgeschritten	dump? also der editor machts eher nicht. wenn ich direkt vor dem update insert das ganze ausgeben lasse (da ich sonst weitergeleitet werde lass ichs per js anzeigen) PHP-Code: `echo '<script type="text/javascript"> alert("' . $PostId . '\n' . $post . '");</script>';` da passt noch alles. konrekt also: PHP-Code: function SaveEditPost($PostId, $lang, $title, $post, $commented, $language) { echo '<script type="text/javascript"> alert("' . $PostId . '\n' . $post . '");</script>'; mysql_query("UPDATE `" .db_tableprefix. "posts` SET `title` = '". mysql_real_escape_string($title) . "', `post` = '" . mysql_real_escape_string($post) . "', `BeCommented` = '" . mysql_real_escape_string($commented) . "', `language` = '" . mysql_real_escape_string($language) . "' WHERE `PostId` = '" .(int)$PostId. "' AND `language` = '" . mysql_real_escape_string($lang) . "'"); } beim echo passts noch^^

25.02.2009, 17:32
litterauspirna Erfahrener Benutzer Registriert seit: 24.04.2008 Beiträge: 3.172 PHP-Kenntnisse: Anfänger	Du lässt also nach dem absenden noch ma eine Kontrollausgabe machen? Und dann erst bei erneuten Klick wird es eingeschrieben? __________________ Aus dem Dynamo Lande kommen wir. Trinken immer reichlich kühles Bier. Und dann sind wir alle voll, die Stimmung ist so toll. Aus dem Dynamo Lande kommen wir. http://www.lit-web.de

25.02.2009, 17:35
Screeze Erfahrener Benutzer Registriert seit: 04.01.2009 Beiträge: 844 PHP-Kenntnisse: Fortgeschritten	ok also, magic_quotes sind an, aber wenn ich z.b. das korrekte html tag erst beim editieren des beitrags einfüge, wird es auch zerschossen. Warum wird es beim insert nicht zerschossen, beim update aber schon? das kann wohl eher nicht an magic_quotes liegen oder? falls doch: ich habe keinen zugriff auf die einstellungen des server, .htaccess will ich nicht benutzen, kann ich das trotzdem vor dem in db schreiben abfangen?