Hi!

und anschließend sollte eine behandlung der einzufügenden daten mittels mysql_real_escape_string() erfolgen.

Da ich dies bereits in seinem letzten Thread mehrfach erwähnt habe, dachte ich, dass ich mir das hier jetzt spare ;-)

Grüße,
Fabian St.

Huhu Sebastian

nachdem der Benutzer [...] biete ich ihm (leider) die Möglichkeit, diese Daten nochmals anzuschauen und ggf. zu korrigieren.

Hierzu leite ich ihn auf eine Seite, die wie die ursprüngliche Eingabeseite aussieht, nur dass alle <input>'s bereits mit seinen Eingaben vorbelegt sind

Du bist also im HTML-Kontext, dann musst Du die Benutzereingaben aus der Datenbank in korrektes HTML umwandeln.

htmlentities() sollte Dein Problem beheben.
http://de2.php.net/manual/de/function.htmlentities.php

Viele Grüße

lulu

Hi!

Nun gibt es aber noch ein weiteres Problem im späteren Verlauf.
nachdem der Benutzer in vier Schritten ziemlich viel Dinge eingegeben hat, die alle – mit stripslashes() und mysql_real_escape_string() behandelt – in die DB geschrieben wurden, bite ich ihm (leider) die Möglichkeit, diese Daten nochmals anzuschauen und ggf. zu korrigieren.

Hierzu leite ich ihn auf eine Seite, die wie die ursprüngliche Eingabeseite aussieht, nur dass alle <input>'s bereits mit seinen Eingaben vorbelegt sind, nämlich so:
<input name="feld1" value="<?php echo $abfrage['feld1'] ?>">

Hat er nun ursprünglich in ein Feld z.B. "Max und Moritz" eingegeben, steht auf dieser Korrekturseite nun
<input name="feld1" value=""Max und Moritz"">
                            ^^^^^^^^^^^^^^^^
                            Das hier wird nun logischerweise ignoriert und das Eingabefeld ist leer.

Hier müsstest du die Daten dann wieder mit htmlentities() behandeln, sodass Sonderzeichen entsprechend durch ihre Entities ersetzt werden. Zum Eintragen in die Datenbank ist dann wiederum html_entity_decode() anzuwenden, welche eine Art Umkehrfunktion zu der vorherigen ist. Und natürlich ist auch hier dann das mysql_real_escape_string() nicht zu vergessen!

Wenn du dich wie oben beschrieben an die Vorgehensweise hälst, solltest du keine Probleme kriegen. Um mir die unnötige Tipparbeit mit dem ständigen htmlentities() zu sparen, verwende ich gerne eine erweiterte Version, die eine ganzes Array rekursiv durchläuft:

  
function array_htmlentities($item) {  
    if(is_array($item)) {  
        foreach($item as $key => $value) {  
     $item[$key] = array_htmlentities($value);  
 }  
    } else {  
        $item = htmlentities($item);  
    }  
  
    return $item;  
}  

Grüße,
Fabian St.

echo $begrüßung;

Ganz allgemein gilt: Daten, die von irgendwoher kommen, sollten erst einmal in ihre Rohform umgewandelt werden, und das möglichst gleich zu Anfang.

[*]

Daten die ausgegeben werden, sind dem Ausgabemedium (Datenbanken zählen dazu) entsprechend zu behandeln, und das möglichst kurz vor der Ausgabe.

Es ist nicht relevant, wie eine spätere Ausgabe aussehen soll. Einige Umwandlungsverfahren sind nicht ohne Verlust umkehrbar, so dass man dann später Probleme bekommen kann, wenn ein weiteres Ausgabemedium hinzukommt.

echo "$verabschiedung $name";

[*] an der Stelle stehen Prüfung der Eingabedaten und Verarbeitung. Da das aber nicht die Ein- und Ausgabebehandlung betrifft, habe ich es dort oben nicht hingeschrieben.

Vielen Dank an alle!

Jetzt funktioniert alles super und ich habe mal wieder dazugelernt :-)

Liebe Grüße -
Sebastian