' und mysql

1ntrud0r

man kann doch den string auch durch htmlspecialchars jagen :p

flenders

Das ersetzt aber noch mehr als erforderlich und vielleicht auch erwünscht!
ein einfaches str_replace tut es hier doch auch schon

Shade Of Mine

problem:
ich kann nicht auf alle $name ein str_replace machen - das ist technisch nicht gut möglich (ca. 9MB quellcode)

kann ich das problem anders lösen? zB mit magic quotes oder so etwas?

flenders

Sind den auch " in $name enthalten?

Tobsen

Verbiete doch einfach die Eingabe des Zeichens. Ok, wahrscheinlich machst du das schon und willst nur wissen wie am besten und wie am schnellsten. Hab die funktion replace(str, from, to); gefunden, aba die bringt dir wahrscheinlich au nix. Hmmmm... fällt grad au nix anderes mehr ein, als das, was schon gepostet wurde...
MfG

Tobsen

Shade Of Mine

in $name kann ALLES stehen - zB ganze Artikel oder Dokumentationen!

das Zeichen ' generell zu verbieten wäre mit großem aufwand möglich...

kennt ihr echt keine bessere alternative?

den query string ansich zu modifizieren ist leicht - da ich dies zentral machen kann. gibts vielleicht einen hack wie ich aus

"insert into foo (name, title) values ('hugo', 'hugo's test')"
ein
"insert into foo (name, title) values ('hugo', 'hugo\'s test')"
machen kann?

(nicht vergessen, es geht hier nicht nur im inserts, sondern auch um updates, selects, etc.)

flenders

Wenn der Befehl schon zusammengesetzt ist, geht das natürlich nicht mehr so einfach! Aber kannst du nicht einfach die einzelnen Inhalte durch ein str_replace schicken?

Gerard

kann man die daten nicht direkt eingeben ohne sie durch den sql parser zu schicken
also funktions aufrufe
z.b. c++

insert_into("foo").row("name").row("title").values(name).values(title);

Shade Of Mine

ne, ihr versteht nicht ganz

wir haben ca. 9MB!!! bestehenden code, der einfach brutal
sql_query("insert into foo (title) values('$title')");
macht...

da kann ich nichts ändern (oder sagen wirs mal so: nicht ohne eine woche lang tag täglich str_replace einzufügen...

naja, dann muss ich wohl ' generell verbieten

Programmer85

$file = stripslashes($ file);

Tobsen

9 MB Code???? Boaah was ist denn das für ein Mega-Programm??
MfG

Tobsen

Shade Of Mine

@Programmer:

@Tobsen:
der sourcecode für ne basic ähnliche sprache - so dass der kunde auch ohne HTML/PHP/SQL Kentnisse seine seite ganz leicht selber anpassen kann.

Gerard

Original erstellt von Shade Of Mine:
naja, dann muss ich wohl ' generell verbieten

wie kanns du ' generell verbieten? wäre es dan nicht besser es einfach in ein \' umzuwandeln?