hi@all,
hab ein script geschrieben, womit man tutorials schreiben kann, die in einer tabelle (gfxwelt_tutorials) gespeichert werden.
wenn man nun in die textarea namens tutorial <?php echo 'test'; ?> schreibt, dann kann es den query nicht ausführen.
is ja auch klar.
wie z.B. das auch nicht gehen würde:
nun habe ich mir gedacht mach ich per str_replace aus den <?php echo 'test'; ?> einfach <?php echo \'test\'; ?>
bzw nur die ' in \' umwandeln lassen genauso habe ich es dann auch mit den " gemacht.
nur will es einfach nicht funktionieren es ersetzt die ' und " einfach nicht in \' bzw \"
mein code-ausschnitt:
was habe ich nur falsch gemacht warum es einfach nicht ersetzt?
MfG,
WasserDragoon.
hab ein script geschrieben, womit man tutorials schreiben kann, die in einer tabelle (gfxwelt_tutorials) gespeichert werden.
wenn man nun in die textarea namens tutorial <?php echo 'test'; ?> schreibt, dann kann es den query nicht ausführen.
is ja auch klar.
wie z.B. das auch nicht gehen würde:
PHP-Code:
<?php
...
mysql_query("INERT INTO tabelle (id, inhalt) VALUES ('', '<?php echo 'test'; ?>')") or die (mysql_error());
?>
bzw nur die ' in \' umwandeln lassen genauso habe ich es dann auch mit den " gemacht.
nur will es einfach nicht funktionieren es ersetzt die ' und " einfach nicht in \' bzw \"
mein code-ausschnitt:
PHP-Code:
<?php
$posttutorial = $_POST['tutorial'];
$posttutorial = str_replace("'", "\'", $posttutorial);
$posttutorial = str_replace('"', '\"', $posttutorial);
if($_POST['minipic'] != "")
{
$tempname = $_FILES['minipic']['tmp_name'];
$minipicname = $_FILES['minipic']['name'];
$minipictype = $_FILES['minipic']['type'];
$minipicsize = $_FILES['minipic']['size'];
if($minipictype != "image/gif" && $minipictype != "image/jpeg" && $minipictype != "image/jpg")
{
$err[] = "Es dürfen nur Bilder im Format *.jpg, *.jpeg und *.gif hochgeladen werden !!!";
}
if($minipicsize > "30000")
{
$err[] = "Die Bildgröße ist größer als 30 KB !!!";
}
if(empty($err))
{
copy($tempname, $minipicname);
}
else
{
foreach($err as $error)
{
?>
<SCRIPT LANGUAGE="JavaScript">
<!--
window.alert("<?php echo $error."\n"; ?>")
// -->
</SCRIPT>
<?php
}
}
mysql_query("INSERT INTO gfxwelt_tutorials (id, name, section, description, autor, datum, zeit, minipic, tutorial, count, is_active) VALUES ('', '".$_POST['name']."', '".$_POST['section']."', '".$_POST['description']."', '".$_COOKIE['gfx_user']."', '".date("d.m.y")."', '".date("H:i:s")."', '".$minipicname."', '".htmlentities($posttutorial)."', '0', '0')") or die (mysql_error());
}
else
{
mysql_query("INSERT INTO gfxwelt_tutorials (id, name, section, description, autor, datum, zeit, minipic, tutorial, count, is_active) VALUES ('', '".$_POST['name']."', '".$_POST['section']."', '".$_POST['description']."', '".$_COOKIE['gfx_user']."', '".date("d.m.y")."', '".date("H:i:s")."', '', '".htmlentities($_POST['tutorial'])."', '0', '0')") or die (mysql_error());
}
?>
<SCRIPT LANGUAGE="JavaScript">
<!--
window.alert("Danke für Ihre Anteilnahme, <?php echo $_COOKIE['gfx_user']; ?> !!!<?php echo "\n"; ?>Wir Werden Ihr Tutorial baldmöglichst aktivieren.")
// -->
</SCRIPT>
MfG,
WasserDragoon.
Kommentar