Hallöchen Leute,
Ich hätte eine Frage zu der php Funktion
mysql_real_escape_string
Diese Funktion sollte ja eigentlich bei Datenbankabfragen genutzt werden um entsprechende Abfragen sicher zu machen..
Ich habe folgenden Code Abschnitt:
Ich habe dann den obigen Abschnitt auf mysql_real_escape_string erweitert:
Dabei kam diese Fehlermeldung..
Warning: mysql_num_rows() expects parameter 1 to be resource, boolean given in C:\xampp\htdocs\Entfernungsberechnung\include\func tion.inc.php on line 58
Ich konnte mit dieser Fehlermeldung nichts anfangen also habe ich getrickst, dieses sql Anweisung soll Daten prüfen die vom Benutzer über ein POST Formular eingeben werden und von einem PHP Programm überprüft werden.
Die betreffenden Variablen sehen so aus..
Da ich also Angst habe dass evtl Cross Site Scripting oder eine SQL Injection angewandt wird habe ich erstmal mit htmlspecialchars gearbeitet, was aber meines Wissens nach nicht ausreichend genug ist...
Wenn ich jetzt den Code so abändere:
Müsste es doch die selbe Wirklich haben, wie wenn ich es direkt in der SQL abfrage mache, oder?
Denn jetzt bekomme ich nicht mehr die obige Fehlermeldung...
Vlt bin ich einfach nur dämlich oder unwissend aber ich bin in Sachen Sicherheit nicht wirklich gut, also seht es mir bitte nach..
Grüße
Vincent
Ich hätte eine Frage zu der php Funktion
mysql_real_escape_string
Diese Funktion sollte ja eigentlich bei Datenbankabfragen genutzt werden um entsprechende Abfragen sicher zu machen..
Ich habe folgenden Code Abschnitt:
PHP-Code:
$mysql_query_string = "SELECT * FROM `flughaefen` WHERE icao = '$DepatureAirport'";
$mysql_query = mysql_query($mysql_query_string);
$mysql_num_rows = mysql_num_rows( $mysql_query );
PHP-Code:
$mysql_query_string = "SELECT * FROM `flughaefen` WHERE icao = ".mysql_real_escape_string($DepatureAirport)."";
$mysql_query = mysql_query($mysql_query_string);
$mysql_num_rows = mysql_num_rows( $mysql_query );
Warning: mysql_num_rows() expects parameter 1 to be resource, boolean given in C:\xampp\htdocs\Entfernungsberechnung\include\func tion.inc.php on line 58
Ich konnte mit dieser Fehlermeldung nichts anfangen also habe ich getrickst, dieses sql Anweisung soll Daten prüfen die vom Benutzer über ein POST Formular eingeben werden und von einem PHP Programm überprüft werden.
Die betreffenden Variablen sehen so aus..
PHP-Code:
$DepatureAirport = $_POST['DEP'];
$ArrivalAirport = $_POST['ARR'];
Wenn ich jetzt den Code so abändere:
PHP-Code:
$DepatureAirport = mysql_real_escape_string($_POST['DEP']);
$ArrivalAirport = mysql_real_escape_string($_POST['ARR']);
Denn jetzt bekomme ich nicht mehr die obige Fehlermeldung...
Vlt bin ich einfach nur dämlich oder unwissend aber ich bin in Sachen Sicherheit nicht wirklich gut, also seht es mir bitte nach..
Grüße
Vincent
Kommentar