Ankündigung

Einklappen
Keine Ankündigung bisher.

[Erledigt] mysql_real_escape_string Frage

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • [Erledigt] mysql_real_escape_string Frage

    Hallo,
    Ich bastle gerade an einer Seite und jetzt wollte ich mal fragen:
    Ist es OK wenn ich wirklich jeden Wert der als Parameter benutzt wird mit "mysql_real_espace_string" ich nenne es mal sichere?

    Oder kann das Probleme geben?

    Gruß
    nBassCom

  • #2
    ja, das kann probleme, wenn magic_qoutes on sind, dann escapest du zwei mal ...

    EDIT: und noch was, erstens es nimmt performance, jede Variable zu überprüfen un es ist nur sinnvoll, wenn man diesen Wert auch in der Datenbank verwendet, also in einer WHERE Clausel oder ähnliches ...

    lg Philipp
    PHP-Code:
    if ( $humans >= ) {
       
    war ();

    Kommentar


    • #3
      Das hab ich in der php Manuel gelesen und prüfe ich vorher ... Danke

      Kommentar


      • #4
        ok, wenn du das ganze vorher prüfst is das "OK", also können zumindestens keine doppelt escapten Sequenzen entstehen!!
        EDIT: und noch was, erstens es nimmt performance, jede Variable zu überprüfen un es ist nur sinnvoll, wenn man diesen Wert auch in der Datenbank verwendet, also in einer WHERE Clausel oder ähnliches ...
        PHP-Code:
        if ( $humans >= ) {
           
        war ();

        Kommentar


        • #5
          Wie meinst du das jetzt?

          Der Hintergrund ist, ich habe eine Klasse die jeden SQL-Query abwickelt, das spart:
          a) Schreibarbeit
          b) ist es (meiner Meinung nach) einfacher mit dem Error-Handling weil die dann immer gleich geprüft werden ...

          Also die Parameter werden übergeben und in der Reihenfolge wie sie im Array stehen im Query ersetzt ...

          Also es werden nur Variabeln die relevant sind geprüft?

          Kommentar


          • #6
            ich habe eine Klasse die jeden SQL-Query abwickelt
            Sag das doch früher, ich habe gedacht, dass du jeden string / variable escapen willst ...
            na dann icst das schon sinnvoll und sogar wichtig um vor SQL-Injetions zu schützen ...
            ich hab das in meiner DB klasse ebenfalls!!

            Also die Parameter werden übergeben und in der Reihenfolge wie sie im Array stehen im Query ersetzt ...
            was genau meinst du mit ersetzt, du meinst du baust dir durch die gegebenen Parameter die Query zusammen oder, wobei du vorher escapest(oder auch nicht, kommt halt auf die "Magics" an ...)
            PHP-Code:
            if ( $humans >= ) {
               
            war ();

            Kommentar


            • #7
              Ja, hab ich oben vergessen ist mir auch danach erst eingefallen ... Sorry
              Genau du hast es erkannt ...

              Vielen Dank
              nBassCom

              Kommentar

              Lädt...
              X