sql-Abfrage via Post übergeben

[tsunamitsunami]

Hallo,
ich habe einen pdf-Export via fpdf realisiert.
Um nicht bei jedem Dokument zwei sql-Abfragen pflegen zu müssen übergebe ich den sql-String via hidden-Feld und POST.

Die Abfrage im Hauptdokument ist korrekt und wird korrekt ins hiddenfeld geschrieben.
Schaue ich mir mit echo $_POST['sqlmain'] die Abfrage im pdf-Dokument an, hat der mir plötzlich alle Anführungszeichen maskiert.

Im Hauptdokument:

PHP-Code:

SELECT count( schadensmeldungen.id ) AS anzahl, sum( schadenhoehe_ss+schadenhoehe_ps+schadenhoehe_vs) as hoehe, Date_Format( schadensmeldungen.datum,%Y) as jahr,sum(schadenhoehe_ss)as sachschaeden,sum( schadenhoehe_vs) as vermoegensschaeden,sum(schadenhoehe_ps) as personenschaeden FROM schadensmeldungen GROUP BY Date_Format(schadensmeldungen.datum,%Y) order by datum desc limit 5 


Ankommen tut dies:


Mist in der Code-Ansicht gehts nicht. Also dann so:
SELECT count( schadensmeldungen.id ) AS anzahl, sum( schadenhoehe_ss+schadenhoehe_ps+schadenhoehe_vs) as hoehe, Date_Format( schadensmeldungen.datum,\'%Y\') as jahr,sum(schadenhoehe_ss)as sachschaeden,sum( schadenhoehe_vs) as vermoegensschaeden,sum(schadenhoehe_ps) as personenschaeden FROM schadensmeldungen GROUP BY Date_Format(schadensmeldungen.datum,\'%Y\') order by datum desc limit 5

Es geht um das '%Y\' Es werden also ungefragt die Anführungszeichen maskiert. Der string ist mit ->"<- eingefasst. Innerhalb stehen dann einige ->'<-
Dann bekomme ich natürlich eine Warning. POST übergibt doch einfach nur eine Variable, oder nicht?

Danke für eure Hinweise...
tsunamitsunami

[feuervogel]

1. überflüssige backslashes entfernt man mit stripslashes()
2. dem nutzer ausdrücklich dazu aufzufordern selbst sql-statements zu formulieren und damit am server rumzuspielen, ist so ziemlich das unsicherste was man machen kann.

[tsunamitsunami]

Hi,

Wie man \ wieder raus bekommt, weiss ich. Danke. Hatte es mit str_replace gemacht.
Nur warum da plötzlich backslashes drin sind, wollt ich wissen. Macht POST sowas wie ein auto-replace?

"Ausdrücklich dazu auffordern..."
Ok. Öffentlich vielleicht verkehrt. Das ganze soll hinterher im abgeschlossenen Nutzerkreis laufen.
Daher ist es nicht ganz so schlimm. Die wollen nur dass es läuft und nicht manipulieren.

Überall werden mit get ids übergeben. Da kann ich natürlich auch manipulieren und dadurch Fehler produzieren.

[feuervogel]

Zitat:

Zitat von tsunamitsunami

Hi,

Wie man \ wieder raus bekommt, weiss ich. Danke. Hatte es mit str_replace gemacht.
Nur warum da plötzlich backslashes drin sind, wollt ich wissen. Macht POST sowas wie ein auto-replace?

weil da offenstlich eine einstellung aktiv ist, die bei post-daten automatisch backslashes hinzufügt. weiß leider nicht genau wie sie heißt.

Zitat:

"Ausdrücklich dazu auffordern..."
Ok. Öffentlich vielleicht verkehrt. Das ganze soll hinterher im abgeschlossenen Nutzerkreis laufen.
Daher ist es nicht ganz so schlimm. Die wollen nur dass es läuft und nicht manipulieren.

Überall werden mit get ids übergeben. Da kann ich natürlich auch manipulieren und dadurch Fehler produzieren.

richtig, aber fehler produzieren != in der datenbank rumschreiben können.

[tsunamitsunami]

Hi,
hast ja recht. ;)
Muss ich mir halt was anderes überlegen...
Vielleicht die sqls auslagern und via include abhängig von der Herkunft einbinden...
Wie machst Du sowas? Oder pflegst Du wirklich für jede Seite ggfs. n*2 Abfragen?

POST-Verhalten
OK, ist dann irgendwo eine Servereinstellung. Dachte schon ich hätte einen Glühwein zuviel gehabt.
xyz rein und xya raus

Guten Rutsch
tsunamitsunami

[feuervogel]

naja, ich weiß ja nicht, wie diese sql-statements aufgebaut sind, aber man kann die sicherlich auch dynamisch zusammensetzen. dazu brauchts aber mehr informationen. auf manuelles verwalten hätte ich auch keine lust.

[cortex]

Zitat:

Zitat von feuervogel

weil da offenstlich eine einstellung aktiv ist, die bei post-daten automatisch backslashes hinzufügt. weiß leider nicht genau wie sie heißt.

vermutlich magic_quotes_gpc. das problem könnte dann so gelöst werden:

PHP-Code:

if( get_magic_quotes_gpc( ) )
{
    $input = stripslashes( $input );    
} 


cx

[tsunamitsunami]

Hallo,

die sqls werden schon dynamisch zusammengesetzt.
Das Problem ist, das ich in allen Abfragen einige dynamische Variablen habe. Also zB das aktuelle Jahr $_get-Variablen usw.

Eine Idee ist nun ein externes php-Dokument mit allen Abfragen via include einbinden und
die Abfragen dann per

PHP-Code:

$sql=$_server['php_self']."_sql 


einbinden.
Dann heisst die Abfrage wie das Dokument. Also zB $index_sql="select...

Klar noch nen bisschen verfeinern wie Punkt und Endung raus usw.

Allerdings habe ich dann immer alle Abfragen in allen Dokumenten. Sind insgesamt ca. 20 Abfragen, davon werden dann 18 nicht gebraucht. *lautdenk*

Dürfte aber performancemässig nicht viel machen, oder? Da es bis hier nur 20 Strings sind, die beim Seitenaufruf erzeugt weden. Selbst wenn es mal 50 werden sollten.
Gruß
tsunamitsunami