Abfrage sprengt code

Einklappen
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
  • #1

    Abfrage sprengt code

    Hi!

    Ich hab folgendes Problem. Bei einigen datensätzen (volltext) passierts mir, wenn sie abgerufen werden das sie mir tags im quellcode sprengen und somit die seite in müll verwandeln.

    Was muss ich machen damit ich das vermeiden kann? parameter in php? spezieller feldtyp in sql?
    Weiss nicht wirklich wonach ich suchen soll.

    greez
    liquid

    ps: danke im vorraus für jeden tip.
    Stichworte: -
  • #2
    Bei einigen datensätzen (volltext) passierts mir, wenn sie abgerufen werden das sie mir tags im quellcode sprengen und somit die seite in müll verwandeln.
    Dynamit aus ner MySql DB ?
    Kannst du das ggf etwas genauer beschreiben und auch den fraglichen Code mal zeigen.
    Vllt auch ein Screenshot

    Gruss

    tobi
    Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

    [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
    Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

    Kommentar

    • #3
      Hi!

      Also shot hab ich leider keinen davon, da ich coden, andere dateneingabe usw..

      Ich hab eine Seite, wo ich die Datenbankeinträge ändern kann. Dazu werden die aktuellen einträge abgefragt und in einem formular als standardwerte geladen. man ändert was geändert gehört und sendet ab.
      dabei passierts häufig das zb durch anführungszeichen, Schrägstriche oder was weiss ich was im text der sourcecode der seite zb durch auskommentieren oder teile des php-codes die dank offenem anführungszeichen auskommentiert sind usw.. nicht abgearbeitet werden, was logischerweise zu fehlern führt.

      Deshalb würd mich interessieren ob es zb so wie bei Int-zahlen in Get-Variablen die man ja spezifizieren kann, auch für plaintext möglich ist, oder obs da ne andere möglichkeit gibt, damit ich mich nicht mehr um korumpierten html-code kümmern muss..

      greez
      liquid

      Kommentar

      • #4
        Deshalb würd mich interessieren ob es zb so wie bei Int-zahlen in Get-Variablen die man ja spezifizieren kann, auch für plaintext möglich ist
        GET und POST sieht php eh nur als Strings...
        dabei passierts häufig das zb durch anführungszeichen, Schrägstriche oder was weiss ich was im text der sourcecode der seite zb durch auskommentieren oder teile des php-codes die dank offenem anführungszeichen auskommentiert
        Du kennst mysql_real_escape_string ?

        Gruss

        tobi
        Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

        [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
        Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

        Kommentar

        • #5
          Danke, kannte ich noch nicht
          klingt aber ziemlcih nach dem was ich suche...
          komisch das das so selten erwähnt wird...

          danke in jedem Fall
          war mir ne große Hilfe.

          greez
          liquid

          Kommentar

          • #6
            komisch das das so selten erwähnt wird...
            Das wird praktisch immer erwänht wenn es um SQL-Injections geht. Und zu diesen kann es immer kommen wenn Usereingaben in eine DB eigearbeitet werden sollten.

            Gruss

            tobi
            Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

            [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
            Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

            Kommentar

            • #7
              ich meinte auch eher das bei den meisten mysql+php-tutorials injections nedamal erwähnt werden... wenn man mal weiss wonach man suchen muss is die arbeit ja eh schon fast gemacht :-)

              danke für die links.

              greez
              liquid

              Kommentar

              • #8
                Hi!

                Hab mich jetz ein bissi eingelesen, aber immer noch eine frage. die is dafür eine spur spezifischer ^^

                Reicht es die mysql_real_escape_string immer dann zu machen wenn daten geändert werden oder ist es sinnvoller jede per post oder get übergebene Variable "checken" zu lassen?

                greez
                liquid

                Kommentar

                • #9
                  Reicht es die mysql_real_escape_string immer dann zu machen wenn daten geändert werden oder ist es sinnvoller jede per post oder get übergebene Variable "checken" zu lassen?
                  Aus Sicht der DB ist es ausreichend wenn du alle Vars prüfst, die in die Abfrage eingebaut werden.
                  Desweiteren solltest du trotzdem alle GET und POST Vars vor der Verarbeitung prüfen, weil sonst, durch unerwartete Werte, die Ausführung des Codes ins Straucheln geraten kann.

                  Gruss

                  tobi
                  Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

                  [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
                  Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

                  Kommentar

                  • #10
                    Danke! kenn mich aus.

                    Kommentar

                    Vorherige template Weiter
                    Lädt...
                    X