kostenloser Webspace werbefrei: lima-city

sql neue daten in die datenbank einfügen problem

lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess

1. Autor dieses Themas

   animeuniversum

   animeuniversum hat kostenlosen Webspace.

   21:54, 24.6.2013

   $sss = "INSERT INTO fall
   			(user, position, fallnr, figur, karte)
   
   			VALUES
   			('$spieleruser', '', '$spielernr', '<img src='xxx.png'>', '$fallkarte')";
   
   			$ssss = mysql_query($sss);

   
   
   der kann so kein neuen eintrag machen weil das mit den

   <img src='xxx.png'>

   nicht geht weil anführungszeichen in anführungszeichen nicht gehen weis tag/jemand">jemand wie ich das so änder das der das auch einträgt?
   
   Beitrag zuletzt geändert: 24.6.2013 21:55:41 von animeuniversum

2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

   lima-city: Gratis werbefreier Webspace für deine eigene Homepage

3. hackyourlife

   Moderator

   hackyourlife hat kostenlosen Webspace.

   22:02, 24.6.2013

   Entweder du verbesserst deine Tabelle, sodass kein nutzloser HTML-Code für Bilder gespeichert wird sondern nur die URL des Bildes (was eine spätere Verarbeitung vereinfacht), oder du bestehst auf dieses Bild-Tag und escapest die Anführungszeichen entsprechend als

   \"

   . Die Variablen

   $spieleruser

   und

   $fallkarte

   lässt du hoffentlich durch

   mysql_real_escape_string()

   wandern, damit dir dort nicht etwas ähnliches passieren kann, was ausgenutzt werden könnte um deine Datenbank zu zerstören.
   
   

   weil anführungszeichen in anführungszeichen nicht gehen

   Doch geht, aber nur, wenn du die Anführungszeichen entsprechend escapest.

4. webfreclan

   

   webfreclan hat kostenlosen Webspace.

   15:10, 25.6.2013

   animeuniversum schrieb:
   

   <img src='xxx.png'>

   
   Kleine Anmerkung: in HTML verwendet man normal " " und keine ' '.
   Ansonsten kann ich mir nur hackyourlife anschließen.
5. Autor dieses Themas

   animeuniversum

   animeuniversum hat kostenlosen Webspace.

   15:27, 25.6.2013

   webfreclan schrieb:
   

   animeuniversum schrieb:
   

   <img src='xxx.png'>

   
   Kleine Anmerkung: in HTML verwendet man normal " " und keine ' '.
   Ansonsten kann ich mir nur hackyourlife anschließen.

   
   
   
   das weis ich alles. es hat schon seine gründe^^ und ok ich habs umgeändert das nur noch der direkt link rein muss
   
   und mal eben eine andere frage ist das so sicher?
   
   

   $wp = mysql_real_escape_string($_POST["wp"]);

6. webfreclan

   

   webfreclan hat kostenlosen Webspace.

   15:34, 25.6.2013

   animeuniversum schrieb:
   und mal eben eine andere frage ist das so sicher?
   

   $wp = mysql_real_escape_string($_POST["wp"]);

   
   Ja, das sollte so sicher sein.
   Du solltest bei dem Ausgeben deiner Daten aber noch strip_tags() zum Entfernen von Schadcode verwenden!
   
   Beitrag zuletzt geändert: 25.6.2013 15:35:13 von webfreclan

7. hackyourlife

   Moderator

   hackyourlife hat kostenlosen Webspace.

   15:39, 25.6.2013

   webfreclan schrieb:
   Du solltest bei dem Ausgeben deiner Daten aber noch strip_tags() zum Entfernen von Schadcode verwenden!

   Das machst du besser nicht, denn nach

   strip_tags()

   können dennoch Tags enthalten sein!
   
   Viel sinnvoller ist die Nutzung von

   htmlspecialchars()

   . Dadurch werden alle »gefährlichen« Zeichen durch die entsprechenden Entitäten ersetzt, so wird z.B.

   &

   zu

   &

   . Dadurch wird XSS verhindert. Der »Angriffscode« wird dann allerdings auf der Webseite als Text ausgegeben, der Angriff wird dadurch also sofort erkennbar …

8. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

   lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?