Wie die Flucht Anführungszeichen beim einfügen in die Datenbank mit PHP

Ich bin ganz neu bei PHP so Leid, wenn Sie klingt wie ein einfaches problem... 🙂

Ich habe eine Fehlermeldung beim einfügen von Inhalten, die enthält Zitate in meine db.
hier ist, was ich versuchte zu entkommen versuchen die Zitate aber hat nicht funktioniert:

$con = mysql_connect("localhost","xxxx","xxxxx");
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }

mysql_select_db("test", $con);

$nowdate = date('d-m-Y')

$title =  sprintf($_POST[title], mysql_real_escape_string($_POST[title]));

$body = sprintf($_POST[body], mysql_real_escape_string($_POST[body]));

$sql="INSERT INTO articles (title, body, date) VALUES ('$title','$body','$nowdate'),";

if (!mysql_query($sql,$con))
  {

die('Error: ' . mysql_error());

}

header('Location: index.php');

Konnte Sie keine Lösung finden?

Vielen Dank im Voraus.

Mauro

  • Bitte zeigen Sie die Fehlermeldung, scheinen Sie schon die Flucht die Daten korrekt.
InformationsquelleAutor Mauro74 | 2010-04-07
  1. 12

    sollte es funktionieren, ohne die sprintf Zeug

    $title = mysql_real_escape_string($_POST[title]);
$body = mysql_real_escape_string($_POST[body]);
    • Danke, es funktioniert wie ein Charme!
    • Trotzdem sollte man nicht nutzen, aber parametrisierte Anweisungen statt.
    • nicht "sollte" sondern "empfohlen". Prepared statements sind mehr narrensicher, ja, aber noch keine silberne Kugel.
    • Schrapnell: ich dachte, "sollte" und "Empfehlung" war das gleiche. Ich würde verwendet haben, irgendeine form von "haben" oder "muss" sonst. Sorry, ich bin nicht in der Verwässerung der Sprache Konstrukte, die rein aus Gründen der Höflichkeit. 😉
    • Während parametriert Aussagen sind auf jeden Fall der bessere Ansatz ist, im Allgemeinen leider in PHP mysqli_bind_param die Umsetzung ist ein bisschen verbose, und hat eine verheerende Schnittstelle Falle für den unvorsichtigen bindet, die durch variable Referenz statt Wert. Dies macht es oft ein schwieriger verkaufen als die Flucht. (G.U. ist ein bisschen besser an dieser front.)
    • Verbindlich durch Bezugnahme, sollte kein problem sein, solange bindendes und-Ausführung erfolgt in enger Abfolge. Abgesehen davon ist es schlechter Stil, zu re-verwenden Sie separate Variablen für etwas anderes, sowieso. 😉 Ich für meinen Teil Ausführlichkeit+Sicherheit schlägt Kürze. Code wird häufiger gelesen als geschrieben, so ausführlich ist eigentlich eine gute Sache.
    • Es ist nicht ein problem, solange Sie wissen es. Für einen Anfänger (und ich würde Wetten, ein Großteil der alltäglichen PHP-Programmierer), die nicht, es ist ein counter-intuitive und potentiell lästig zu Debuggen Falle. Es hält auch Sie verbindlich einen Wert wie 'foo'.$bar, was bedeutet, dass mehr gefälschte temporäre Variablen. Ich Liebe parametrierte Abfragen, aber mysqli's-Schnittstelle ist ein Schuppen. Python-DB-API zeigt, wie es sollte getan werden, kurz und prägnant. (Obwohl dann Holen Sie sich den Kummer von paramstyle, so kann man nicht gewinnen, Schätze ich...)

    InformationsquelleAutor Flatlin3
  2. 13

    Bitte starten Sie mit vorbereiteten parametrisierte Anweisungen. Sie entfernen die Notwendigkeit für jede SQL-escaping sorgen und schließen Sie die SQL-injection-Lücke, die string-verketteten SQL-Anweisungen offen lassen. Plus Sie sind viel mehr angenehm, mit zu arbeiten und sehr viel schneller, wenn verwendet, in einer Schleife.

    $con  = new mysqli("localhost", "u", "p", "test");
if (mysqli_connect_errno()) die(mysqli_connect_error());

$sql  = "INSERT INTO articles (title, body, date) VALUES (?, ?, NOW())";
$stmt = $con->prepare($sql);
$ok   = $stmt->bind_param("ss", $_POST[title], $_POST[body]);

if ($ok && $stmt->execute())
  header('Location: index.php');
else
  die('Error: '.$con->error);
    InformationsquelleAutor Tomalak
  3. 2

    Mit jeder Datenbank-Abfrage, vor allem die Einsätze aus eine web-basierte Anwendung, Sie sollten wirklich mit Parametern. Hier finden Sie PHP-Hilfe auf, wie Parameter in Ihren Abfragen: PHP-Parameter

    Dies wird helfen, verhindern, dass SQL-injection-Angriffe sowie verhindern, dass Sie mit escape-Zeichen.

    • Danke, werde ich mir anschauen! 🙂
    InformationsquelleAutor Tommy
  4. 2

    Ihren code 

    $sql="INSERT INTO articles (title, body, date) VALUES ('$title','$body','$nowdate'),";

    sollte wie folgt

    $sql="INSERT INTO articles (title, body, date) VALUES ('$title','$body','$nowdate')";

    Komma nicht da sein sollte, am Ende der Abfrage

    • ja ich weiß, über das Komma war nur ein Tippfehler.
    InformationsquelleAutor Salil
Schreibe einen Kommentar