:: Buchempfehlung ::

bernie33 · #1 07.04.2008, 15:58:41

Hallo,

Ich wollte euch etwas sagen.

Domi · #2 07.04.2008, 23:41:53

Hi,

also wenn du session_destroy(); verwenden willst, dann musst die diese vorher auch per session_start(); starten :)

ich verwende auch mysql_real_escape_string(); und bin (zumindest bis jetzt) der Ansicht, dass es sicher ist. Solange ' nicht eingegeben werden kann, sollte der String doch auch nicht verlassen werden können..

Verwende bitte in Zukunft die PHP-Tags der Forum und rücke richtig ein.

Noch was: Deine Arrays:

PHP-Code:


			
$query_row[Vorname]

verwende doch dort bitte:

PHP-Code:


			
$query_row['Vorname']

Du kannst auch doppelte verwenden also " aber die einfachen sind schneller. Die doppelten brauchst du nur, wenn du Variablen im String ersetzen willst.

Außerdem ist es (zumindest für mich) schöner die ` wegzulassen. Denn diese brauchst du eigtl nur, wenn du Sonderzeichen dort drin hast.

Hoffe ich konnte dir helfen ;)

GreeTz
Domi

// EDIT: gerade gesehen: $sortby solltest du nicht einfach so übernehmen, da dass kein Wert ist der in zwischen quotes steht. Einfach abprüfen ob ASC oder DESC drin steht, mehr Möglichkeiten hast du eh nicht :) Dann braucht du eigtl auch für $sortby kein htmlspecialchars und kein mysql_real_escape_string.

**|Coding** · #3 08.04.2008, 13:43:10

Hi!

Ganz so einfach ist die Sache nun doch nicht. Mysql_real_escape_string und htmlspecialchars haben nur einen Effekt auf Sonderzeichen, nicht aber auf "normale" Wörter wie "UNION".

Die Eingabe von außen sollte immer so gut wie möglich geprüft werden. Erlaube in den Eingaben nur das, was Du auch im Script brauchen kannst.

Zum Beispiel:

PHP-Code:


			
<?php

$sortby = strtoupper ( $_GET['sortby'] );



if ( $sortby != 'DESC' && $sortby != 'ASC' )

{

  // Standardwert, wenn falsche Eingabe.

  $sortby = 'DESC';

}



print ( 'Eingabe: ' . $_GET['sortby'] . '<br />' .

        'Wert nach Prüfung: ' . $sortby );

?>

Zitat:

Zitat von Domi

...Außerdem ist es (zumindest für mich) schöner die ` wegzulassen. Denn diese brauchst du eigtl nur, wenn du Sonderzeichen dort drin hast...

Was ist mit den "reserved words" im SQL-Statement?

Domi · #4 08.04.2008, 13:49:20

oh, das mach ich und merke es gar nicht mehr :)

zum Thema: http://dev.mysql.com/doc/refman/5.0/...ved-words.html

bernie33 · #5 08.04.2008, 14:07:18

Hallo,

Ich wollte euch etwas sagen.

Domi · #6 08.04.2008, 16:12:09

schau dir mal tut.php-q.net an, das dürfte dich um einiges weiterbringen :)

Domi

**|Coding** · #7 08.04.2008, 17:39:24

Zitat:

Zitat von bernie33

Muss ich immer wenn ich eine Abfrage zur datenbank stelle, sie auch wieder mit mysql_exit() beenden, oder gibts da Ausnahmen?

Du solltest die Datenbankverbindung immer dann schließen, wenn Du sie nicht mehr brauchst, weil das Sauberer ist und abgesehen davon ist es überflüssig eine Verbindung offen zu halten, wenn sie nicht mehr gebraucht wird. Du musst aber nicht die Verbindung schließen, diese passiert am Ende des Scripts völlig automatisch - sofern nicht schon vorher erfolgt - jedenfall in den allermeisten Fällen.

bernie33 · #8 08.04.2008, 19:34:01

Hallo,

Ich wollte euch etwas sagen.

:: Buchempfehlung ::

:: Anbieterverzeichnis ::

Globale Branchen

Informieren Sie sich über ausgewählte Unternehmen im Anbieterverzeichnis von SELFPHP

:: Newsletter ::

Abonnieren Sie hier den kostenlosen SELFPHP Newsletter!