sql neue daten in die datenbank einfügen problem
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
ausgeben
bild
code
datum
entfernen
figur
frage
http
jemand
kleine anmerkung
manual
passieren
sicher code
strip
tag
url
variablen code
verarbeitung
verwenden
webseite
-
$sss = "INSERT INTO fall (user, position, fallnr, figur, karte) VALUES ('$spieleruser', '', '$spielernr', '<img src='xxx.png'>', '$fallkarte')"; $ssss = mysql_query($sss);
der kann so kein neuen eintrag machen weil das mit den
nicht geht weil anführungszeichen in anführungszeichen nicht gehen weis tag/jemand">jemand wie ich das so änder das der das auch einträgt?<img src='xxx.png'>
Beitrag zuletzt geändert: 24.6.2013 21:55:41 von animeuniversum -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Entweder du verbesserst deine Tabelle, sodass kein nutzloser HTML-Code für Bilder gespeichert wird sondern nur die URL des Bildes (was eine spätere Verarbeitung vereinfacht), oder du bestehst auf dieses Bild-Tag und escapest die Anführungszeichen entsprechend als
. Die Variablen\"
und$spieleruser
lässt du hoffentlich durch$fallkarte
wandern, damit dir dort nicht etwas ähnliches passieren kann, was ausgenutzt werden könnte um deine Datenbank zu zerstören.mysql_real_escape_string()
weil anführungszeichen in anführungszeichen nicht gehen
Doch geht, aber nur, wenn du die Anführungszeichen entsprechend escapest. -
animeuniversum schrieb:
<img src='xxx.png'>
Kleine Anmerkung: in HTML verwendet man normal " " und keine ' '.
Ansonsten kann ich mir nur hackyourlife anschließen. -
webfreclan schrieb:
animeuniversum schrieb:
<img src='xxx.png'>
Kleine Anmerkung: in HTML verwendet man normal " " und keine ' '.
Ansonsten kann ich mir nur hackyourlife anschließen.
das weis ich alles. es hat schon seine gründe^^ und ok ich habs umgeändert das nur noch der direkt link rein muss
und mal eben eine andere frage ist das so sicher?
$wp = mysql_real_escape_string($_POST["wp"]);
-
animeuniversum schrieb:
und mal eben eine andere frage ist das so sicher?
$wp = mysql_real_escape_string($_POST["wp"]);
Ja, das sollte so sicher sein.
Du solltest bei dem Ausgeben deiner Daten aber noch strip_tags() zum Entfernen von Schadcode verwenden!
Beitrag zuletzt geändert: 25.6.2013 15:35:13 von webfreclan -
webfreclan schrieb:
Das machst du besser nicht, denn nach
Du solltest bei dem Ausgeben deiner Daten aber noch strip_tags() zum Entfernen von Schadcode verwenden!
können dennoch Tags enthalten sein!strip_tags()
Viel sinnvoller ist die Nutzung von
. Dadurch werden alle »gefährlichen« Zeichen durch die entsprechenden Entitäten ersetzt, so wird z.B.htmlspecialchars()
zu&
. Dadurch wird XSS verhindert. Der »Angriffscode« wird dann allerdings auf der Webseite als Text ausgegeben, der Angriff wird dadurch also sofort erkennbar …&
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage