[PHP] String richtig anzeigen

    Denk an das Escapen!


    PHP
    $sql = "SELECT * FROM '".$DB['user']."' WHERE Email = '".mysql_real_escape_string($Email)."'";


    Ich denke mal, dass Du das erste nicht escapen musst, sofern der Wert konstant ist und Du nichts mehr daran ändern lässt.

    Ja irgendwie auch logisch. Es kommt auf den User drauf an, wie er es macht. Ich mache es immer nur im Query. Das hat auch seinen Grund. Bevor er es gar nicht macht, lieber einmal erwähnt. Man weiß ja nicht was über dem Query alles steht.

    Zitat von palwal

    mysql_escape_real_string verschont nicht vor SQL Injection.

    Wenn es sich dabei denn um eine SQL-Injection handeln würde...

    Moderator der Bereiche: Coding, Vorstellungsrunde und Handelsecke. Über Verwarnungen, falls du zu den Wenigen gehörst, die eine Verwarnung von mir erhalten haben, kannst du jederzeit mit mir reden, sofern der Umgangston stimmt.


    expect us. / unkompetent. Das neue dynamisch. / easy-stripping.net - coming soon! / "9§. the entire website bestands out of english." / Vollprofi in allem, wo gibt und noch mehr; kann auch OOP.
    Kleine Coding-Frage? Schau doch in #dev im IRC vorbei, wir können dir sicher helfen.


    Ich bin für Aufträge im Bereich der Webentwicklung (z.B. User Control Panel) zu haben. Kontaktiere mich diesbezüglich einfach in einer privaten Nachricht mit deinen, möglichst konkreten, Vorstellungen.


    lesen.denken.posten. - [22:54:14] <Goldkiller2> früher gabs immer so coole user da stand in der signatur "lesen.denken.posten."


    Mafia 2 Multiplayer (m2mp.de) - Eine kostenlose Modifikation für Mafia 2, die es, ähnlich wie SAMP, erlaubt über das Internet oder LAN mit bis zu 1000 anderen Spielern zu spielen.

    Zitat von Slider

    Denk an das Escapen!


    PHP
    $sql = "SELECT * FROM '".$DB['user']."' WHERE Email = '".mysql_real_escape_string($Email)."'";


    Ich denke mal, dass Du das erste nicht escapen musst, sofern der Wert konstant ist und Du nichts mehr daran ändern lässt.


    Ich musste die ' entfernen, da er mir sonst ...'kunden'... als string von MySQLi anzeigte.

  • do.de - Domain-Offensive - Domains für alle und zu super Preisen

    Dazu sag' ich nur Backticks (`), nicht Singlequotes ('). Und ganz entfernen ist auch keine gute Idee, da (My)SQL reservierte Keywords und Sprachattribute hat, was zu Fehlern führen kann, wenn die Tabelle wie eben so ein Keyword heißt.

    Moderator der Bereiche: Coding, Vorstellungsrunde und Handelsecke. Über Verwarnungen, falls du zu den Wenigen gehörst, die eine Verwarnung von mir erhalten haben, kannst du jederzeit mit mir reden, sofern der Umgangston stimmt.


    expect us. / unkompetent. Das neue dynamisch. / easy-stripping.net - coming soon! / "9§. the entire website bestands out of english." / Vollprofi in allem, wo gibt und noch mehr; kann auch OOP.
    Kleine Coding-Frage? Schau doch in #dev im IRC vorbei, wir können dir sicher helfen.


    Ich bin für Aufträge im Bereich der Webentwicklung (z.B. User Control Panel) zu haben. Kontaktiere mich diesbezüglich einfach in einer privaten Nachricht mit deinen, möglichst konkreten, Vorstellungen.


    lesen.denken.posten. - [22:54:14] <Goldkiller2> früher gabs immer so coole user da stand in der signatur "lesen.denken.posten."


    Mafia 2 Multiplayer (m2mp.de) - Eine kostenlose Modifikation für Mafia 2, die es, ähnlich wie SAMP, erlaubt über das Internet oder LAN mit bis zu 1000 anderen Spielern zu spielen.

    Gefällt mir 1