mysql varchar geht nicht

**wahsaga** · 03.10.2010, 13:30

Zitat von matt_dominik Beitrag anzeigen

Wie gesagt dies ist nur dann wenn ich Text in die Tabelle schreiben will wenn ich Zahlen eingebe dann geht dies.

Wenn du in einem PHP-Script Text oder Zahlen verwendest, dann notierst du die doch auch auf zwei verschiedene Arten - bringt dich das nicht mal ansatzweise zum nachdenken, dass das in SQL ähnlich sein könnte ...?

MySQL :: MySQL 5.1 Reference Manual :: 8.1.1 Strings

**h3ll** · 03.10.2010, 14:41

Dein Script ist anfällig für gefährliche SQL-Injections.

**matt_dominik** · 03.10.2010, 15:29

Wenn du in einem PHP-Script Text oder Zahlen verwendest, dann notierst du die doch auch auf zwei verschiedene Arten - bringt dich das nicht mal ansatzweise zum nachdenken, dass das in SQL ähnlich sein könnte ...?

ja klar, danke habs nun gleich einmal gefunden.
Naja programmiere ja auch nicht gerade am besten hier und mal wieder.

wegen sql-injection ich überprüfe gleich _POST, _GET, _SESSION, _COOKIE

PHP-Code:


$_GET =     secure($_GET);
$_POST =    secure($_POST);
$_SESSION = secure($_SESSION);
$_COOKIE =  secure($_COOKIE);

in der secure-funktion ist dann alles drin wo überprüft wird.

Danke für die Antworten.

**h3ll** · 03.10.2010, 18:51

Zitat von matt_dominik Beitrag anzeigen

ja klar, danke habs nun gleich einmal gefunden.
Naja programmiere ja auch nicht gerade am besten hier und mal wieder.

wegen sql-injection ich überprüfe gleich _POST, _GET, _SESSION, _COOKIE

PHP-Code:


$_GET =     secure($_GET);

$_POST =    secure($_POST);

$_SESSION = secure($_SESSION);

$_COOKIE =  secure($_COOKIE);

in der secure-funktion ist dann alles drin wo überprüft wird.

Das ist der falsche Weg. Du sollst nicht überprüfen, sondern die Daten richtig maskieren. Und das kannst du nur direkt beim Query machen. Das hat auch nichts mit $_GET, $_POST, usw. zu tun. Benutzerdaten können auch aus anderen Variablen und Datenquellen kommen.

**gourmet** · 03.10.2010, 18:54

Zitat von matt_dominik Beitrag anzeigen

Hier das Script:
[COLOR=Red]
[/COLOR]

PHP-Code:


if($_POST["title"] != "")

{



        $sql_insert = 'INSERT INTO gb SET title='.$_POST["title"];

        $query = $db->query( $sql_insert );

            

            if(false == $query)

            {

                

                echo "Konnte nicht erstellt werden.".$db->error;

                

            } else {

                

                echo "Wurde erfolgreich erstellt";

                

            }

            

}

Hallo,

wenn dein Script ^^ so Aussieht, kann das auch nicht funktionieren.
MySQL :: MySQL 5.1 Referenzhandbuch :: 13.2.4 INSERT
guck dir mal ein, wie ein INSERT Query aussehen muß!

VG
gourmet

**sili** · 03.10.2010, 22:10

PHP-Code:


$sql_insert = "INSERT INTO gb SET title='" . $_POST['title'] . "'";

**h3ll** · 03.10.2010, 22:17

Zitat von sili Beitrag anzeigen

PHP-Code:


$sql_insert = "INSERT INTO gb SET title='" . $_POST['title'] . "'";

Netter Versuch, aber falsch. Es fehlt die Maskierung der Daten (was ich hier schon erwähnt habe).

**sili** · 04.10.2010, 18:57

Zitat von h3ll Beitrag anzeigen

Netter Versuch, aber falsch. Es fehlt die Maskierung der Daten (was ich hier schon erwähnt habe).

Falsch nicht. Aber unschön (wie du ja schon erwähnt hast).

**h3ll** · 04.10.2010, 19:25

Zitat von sili Beitrag anzeigen

Falsch nicht. Aber unschön (wie du ja schon erwähnt hast).

Nein, es ist ein sehr schwerer Fehler. Es sind zwar nur ein paar Zeichen Code, aber die Auswirkungen sind fatal.

Jeder, der halbwegs die Grundlagen beherrscht, darf solche Fehler nicht machen.

**matt_dominik** · 05.10.2010, 03:28

[COLOR=#000000][COLOR=#0000CC]

[/COLOR][/COLOR]

PHP-Code:


$sql_insert = "INSERT INTO gb SET title='" .mysql_real_escape_string($_POST['title']). "'";

ich glaube so wäre es richtig und wenn ich es nun richtig verstanden habe zahlen besser mit

PHP-Code:


$id=intval($id);

sichern.

**eagle275** · 05.10.2010, 07:25

das $id = intval ($id) ist für dein PHP selbst - wenn die Zahl aber aus einer Eingabe stammt, würde ich selbst diese mit mysql_real_escape_string speichern - und in Quotes in die Datenbank speichern - nur für den Fall, dass jemand dort versucht ne SQL injection anzusetzen ...

Alternativ müsstest du nach dem intval halt prüfen ob

$id=0 nun aus Eingabe "0" entstanden ist oder weil dort Buchstaben oder andere Zeichen eingegeben wurden, die sich dann nicht in eine Zahl konvertieren lassen. Wobei man imme etwas aufpassen muss auf die "Eigenintelligenz" von PHP, bei der automatischen Typkonvertierung ("0123" könnte auch als Oktal-Zahl aufgefasst werden und wäre dann was anderes als Dezimal 123)

**h3ll** · 05.10.2010, 10:04

Zitat von eagle275 Beitrag anzeigen

das $id = intval ($id) ist für dein PHP selbst - wenn die Zahl aber aus einer Eingabe stammt, würde ich selbst diese mit mysql_real_escape_string speichern - und in Quotes in die Datenbank speichern - nur für den Fall, dass jemand dort versucht ne SQL injection anzusetzen ...

Alternativ müsstest du nach dem intval halt prüfen ob

$id=0 nun aus Eingabe "0" entstanden ist oder weil dort Buchstaben oder andere Zeichen eingegeben wurden, die sich dann nicht in eine Zahl konvertieren lassen. Wobei man imme etwas aufpassen muss auf die "Eigenintelligenz" von PHP, bei der automatischen Typkonvertierung ("0123" könnte auch als Oktal-Zahl aufgefasst werden und wäre dann was anderes als Dezimal 123)

Prüfen musst du so oder so. Auch MySQL hat eine schwache Typisierung und wandelt Strings automatisch in einen Integer um.

mysql varchar geht nicht