dedlfix: htmlentities und mysql_real_escape_string

Beitrag lesen

SELF-Forum

htmlentities und mysql_real_escape_string

dedlfix
Informationen zu den Bewertungsregeln

echo $begrüßung;

Ich denke ich werde mir diesen Schritt angewöhnen
"INSERT INTO tabelle SET wert1 = '".mysql_real_escape_string($_POST['var1'])."'";
und alles andere vergessen.

Für den Anfang nicht schlecht. Ich finde es nicht sehr übersichtlich, Strings aus mehreren Einzelteilen per Stringverknüpfung zusammenzubauen. Dabei entstehen sehr viele '".-Zeichenkombinationen. Die Funktion sprintf() kann hier für mehr Übersicht sorgen: (Ich hab mal noch einen Wert hinzugenommen.)

sprintf("INSERT INTO tabelle SET wert1 = '%s', wert2 = '%s'",
    mysql_real_escape_string($_POST['var1']),
    mysql_real_escape_string($_POST['var2']));

Und dann gibt es noch eine Technik namens Prepared Statements. Diese trennt die Anweisungsteile eines SQL-Statements von den Datenbestandteilen. Das Statement und die Daten gehen getrennte Wege zur Datenbank. Ursprünglich wurden PS erfunden, um das Parsen des Statements nur einmal durchführen zu müssen, und es dann mehrmals mit Daten ausführen zu können. Das kommt im Webumfeld weniger zur Anwendung, weil hier für jeden Request eine neue Verbindung zum DBMS benutzt wird, und das alte preparierte Statement nicht mehr vorhanden ist. Doch die Trennung zwischen Statement und Daten kann man sich ganz gut zu Nutze machen. Man formuliert das Statement mit Platzhaltern, ähnlich wie bei sprintf():

"INSERT INTO tabelle SET wert1 = ?, wert2 = ?"

Beachte, dass hier die Platzhalter ohne Stringbegrenzer notiert sind. Diesen String übergibt man der Funktion, die das Statement vorbereitet. Anschließend bindet man Daten an das preparierte Statement und führt es aus. Die Daten werden dabei nicht weiter behandelt. Sie werden direkt an Funktionen der Datenbank-API übergeben, die sich um den weiteren ordnungsgemäßen Transport kümmern.

Prepared Statements kann man allerdings nicht mit der herkömmlichen mysql-Extension verwenden. Dafür benötigt man die mysqli-Extension oder PDO. Verwendungsbeispiele bitte den verlinkten Handbuchkapiteln entnehmen.

Möglicherweise wird dich das als Anfänger überfordern, aber ich wollt's nur mal erwähnt haben, dass es noch weitere Möglichkeiten gibt.

echo "$verabschiedung $name";

Beitrag melden
Informationen zu den Bewertungsregeln