Hi, danke für die Antwort.

Mache dir mal Gedanken ob es wirklich Sinn macht eine Tabelle mit 50! Spalten.
Stichwort: erste Normalform.
Meistens ist es besser (auch später zur Pflege) man teil das in mehrere Tabellen auf.

ja da ahst du recht. Ich teile die 50 Felder dann gleich jetzt auf, bevor ich das naher mache und somit Mehrarbeit habe. In der Tabelle "User" belasse ich dann nur die gängingsten Sachen, und die die ich am meißten abfrage: ID, NAME, PASSWORT, GB-DATUM, WOHNORT, GESCHLECHT und ONLINESTATUS

2. <<Muss ich in der Query die Spalte immer maskieren? 'mein Eintrag'>>
   Du musst deine Einträge immer mit '' maskieren, Denke bitte auch an das Thema Sicherheit und validiere deine Daten.
   Stichwort: mysql_real_escape_string

Ich habe gedacht, dass man Spalten mit dem Typ "INT" nicht maskiert, bzw. dachte, dass es ein Fehler gibt, wenn man maskiert. (Wie bei String)
Mal schauen, wie ich das "mysql_real_escape_string" in JSP einsetze.

Wenn nur eine Spalte bzw. ein Eintrag deines Inserts falsch ist wird der ganze Befehl nicht ausgeführt.

Aja, oki geht klar.

Viele Grüße

hi dedlfix,

(Standard mit d am Ende.)

Sorry ;)

Generell gilt: Jeder Wert, der in einen bestimmten Kontext gebracht werden soll, muss die Gegebenheiten dieses Kontexts beachten und entsprechend behandelt werden.
Du hast hier ein SQL-Statement. Das hat die Eigenart, Anweisungsteile und Daten zu einem einzigen Text zusammenzumischen. Damit die Daten von den Anweisungen unterschieden werdne können, muss man sie besonders kennzeichnen. Hier erfolgt das durch Quotierung, also Einrahmen in " oder '. Wenn nun innerhalb des Wertes ein ' oder " auftaucht, wird das als Ende des Wertes gedeutet, was ja aber nicht sein soll. Deshalb muss man diese Zeichen mit besonderer Bedeutung maskieren. Man stellt ihnen in dem Fall ein \ davor. Damit ist auch der \ zu einem Sonderzeichen geworden, das ebenfalls beachtet werden muss. Es gibt noch ein paar weitere Zeichen. Alle zu maskierende Zeichen werden von mysql_real_escape_string() beachtet. (Ich gehe mal davon aus, dass du MySQL verwendest.) Diese Funktion gibt es mit gleichem Namen unter PHP. Und auch andere Systeme bieten solch eine Funktion an.

mysql.real_escape? Da ich JSP verwende, wäre dann mein Begriff anstatt real_escape dann wahrscheinlich "PreparedStatement-Objekt".

Bei einem INT kann man natürlich nicht maskieren, sonst findet keine Eintragung statt.

Doch, man kann. MySQL ist es egal, ob es Zahlenwerte als String gekennzeichnet oder ohne Quotierung bekommt. Da der SQL-String immer Text ist, muss in jedem Fall eine Konvertierung in eine Zahl erfolgen, bevor der Wert gespeichert werden kann.

Das muss ich mal testen. Irgendwie hatte ich im hinterkopf, dass ich keine Zahlen in ein INT-Feld speichert konnte, wenn es maskiert war. Aber, könnte sein, dass ich mir irre. Werde ich gleich mal testen.

Bei einem Syntaxfehler wird das SQL-Statement nicht ausgeführt. Bei einer SQL-Injection geht noch mehr in die Hose als dir lieb ist.

SQL-Injection's sind wohl sehr Übel. Muss da sehr aufpassen ;)

Setz dir doch am besten ein Testsystem auf. Daran kannst du solche Problemfälle nachstellen, ohne Angst zu haben, etwas kaputt zu machen, siehst wie sich das System verhält und lernst damit umzugehen.

Teste gerade eh alles Lokal auf meiner Festplatte, bevor ich alles aufspiele.

Eine andere Frage hätte ich noch, da ich das nicht so ganz verstanden habe.
Ich belege einige Spalten mit einem Standardwert. Beim registrieren spreche ich diese Felde dann nicht noch extra an.

Ein Kollege hat nun gemeint, dass man Felder mit dem "mediumtext" egal ob Null oder NotNull nie Null sein darf. Vorbelegen möchte ich das Feld mit meinem Standardwert nicht, da es leer sein sollte.

Stimmt das nun, dass ich bei einem Insert Into auch die Spalten mit dem Typ "mediumtext" befüllen oder ansprechen muss- Bsp ''?

Was ich auch nicht so checke. Den Unterschied zwischen, NULL und eine leere Spalte? Könnte man das in einem kurzen Satz für mich etwas verdeutlichen?

Not Null = Nein. Das Feld darf nicht NULL sein.
Null = Ja. Das Feld darf NULL sein.

Der Unterschied zwischen NULL und leerem Feld. Wenn ich die Spalte "Name" mit leerem Inhalt hole und in eine Variable zuweise, dann ist die Variable einfach leer. String Name="";
Wenn man ein Feld holt mit dem Inhalt "NULL". Dann kommt einfach nichts zurück, weil nichts da ist? Habe ich das so richtig verstanden?

Bsp. Wenn ich mehrere Felder hole und in ein Aaray speichere. Sobald im Datensatz ein paar Felder leer sind, also Not Null, habe ich leere Arrayfelder. Sobald ein Feld mit NULL belegt ist, habe ich ein Arrayfeld weniger, da ich es nicht deklariert habe?
Ja, eventuell habe ich es verstanden, wenn mir dies jemand bestätigen kann, bzw. falls man meinen Gedankensgang nachvollziehen kann ;)

Grüße