kostenloser Webspace werbefrei: lima-city


sql neue daten in die datenbank einfügen problem

lima-cityForumProgrammiersprachenPHP, MySQL & .htaccess

  1. Autor dieses Themas

    animeuniversum

    animeuniversum hat kostenlosen Webspace.

    $sss = "INSERT INTO fall
    			(user, position, fallnr, figur, karte)
    
    			VALUES
    			('$spieleruser', '', '$spielernr', '<img src='xxx.png'>', '$fallkarte')";
    
    			$ssss = mysql_query($sss);


    der kann so kein neuen eintrag machen weil das mit den
    <img src='xxx.png'>
    nicht geht weil anführungszeichen in anführungszeichen nicht gehen weis tag/jemand">jemand wie ich das so änder das der das auch einträgt?

    Beitrag zuletzt geändert: 24.6.2013 21:55:41 von animeuniversum
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. hackyourlife

    Moderator Kostenloser Webspace von hackyourlife

    hackyourlife hat kostenlosen Webspace.

    Entweder du verbesserst deine Tabelle, sodass kein nutzloser HTML-Code für Bilder gespeichert wird sondern nur die URL des Bildes (was eine spätere Verarbeitung vereinfacht), oder du bestehst auf dieses Bild-Tag und escapest die Anführungszeichen entsprechend als
    \"
    . Die Variablen
    $spieleruser
    und
    $fallkarte
    lässt du hoffentlich durch
    mysql_real_escape_string()
    wandern, damit dir dort nicht etwas ähnliches passieren kann, was ausgenutzt werden könnte um deine Datenbank zu zerstören.

    weil anführungszeichen in anführungszeichen nicht gehen
    Doch geht, aber nur, wenn du die Anführungszeichen entsprechend escapest.
  4. animeuniversum schrieb:
    <img src='xxx.png'>

    Kleine Anmerkung: in HTML verwendet man normal " " und keine ' '.
    Ansonsten kann ich mir nur hackyourlife anschließen.
  5. Autor dieses Themas

    animeuniversum

    animeuniversum hat kostenlosen Webspace.

    webfreclan schrieb:
    animeuniversum schrieb:
    <img src='xxx.png'>

    Kleine Anmerkung: in HTML verwendet man normal " " und keine ' '.
    Ansonsten kann ich mir nur hackyourlife anschließen.



    das weis ich alles. es hat schon seine gründe^^ und ok ich habs umgeändert das nur noch der direkt link rein muss

    und mal eben eine andere frage ist das so sicher?

    $wp = mysql_real_escape_string($_POST["wp"]);
  6. animeuniversum schrieb:
    und mal eben eine andere frage ist das so sicher?
    $wp = mysql_real_escape_string($_POST["wp"]);

    Ja, das sollte so sicher sein.
    Du solltest bei dem Ausgeben deiner Daten aber noch strip_tags() zum Entfernen von Schadcode verwenden!

    Beitrag zuletzt geändert: 25.6.2013 15:35:13 von webfreclan
  7. hackyourlife

    Moderator Kostenloser Webspace von hackyourlife

    hackyourlife hat kostenlosen Webspace.

    webfreclan schrieb:
    Du solltest bei dem Ausgeben deiner Daten aber noch strip_tags() zum Entfernen von Schadcode verwenden!
    Das machst du besser nicht, denn nach
    strip_tags()
    können dennoch Tags enthalten sein!

    Viel sinnvoller ist die Nutzung von
    htmlspecialchars()
    . Dadurch werden alle »gefährlichen« Zeichen durch die entsprechenden Entitäten ersetzt, so wird z.B.
    &
    zu
    &amp;
    . Dadurch wird XSS verhindert. Der »Angriffscode« wird dann allerdings auf der Webseite als Text ausgegeben, der Angriff wird dadurch also sofort erkennbar …
  8. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!