mysql_query()

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • mysql_query()

    Ich wollte per mysql_query() mehrere Befehle durch Semikolon getrennt. auf einmal ausführen lassen, woraufhin ein Syntaxfehler gemeldet wurde.
    Also hab ich mal hier in das PHP-Handbuch geschaut und da stand tatsächlich, dass die MySQL-Anweisung nicht auf Semikolon enden darf (und damit wohl auch nicht mehrere Anweisungen enthalten darf).
    Kann mir jemand erklären, warum das so ist, und welche Alternativen es gibt (außer mehrere mysql_query()-Anweisungen zu benutzen)?

  • #2
    Re: mysql_query()

    Original geschrieben von slomox
    warum das so ist
    weil niemand in den dschungel zog und die banane gerade bog
    welche Alternativen es gibt (außer mehrere mysql_query()-Anweisungen zu benutzen)?
    keine, es sei denn du lässt dich von phpmyadmin inspirieren, da geht's ja,wobei ich das streng genommen nur als halbe alternative bezeichnen würde
    Ich denke, also bin ich. - Einige sind trotzdem...

    Kommentar


    • #3
      einzeln absetzen, was anderes ist IMHO z.Z. (noch) nicht möglich.

      Kommentar


      • #4
        Und aus sicherheitstechnischen Gründen ist das ganze auch sinnvoll.


        An mich bitte keine unaufgeforderten E-Mails senden (ausser ihr seid bereit geld zu zahlen, dann gerne )

        Kommentar


        • #5
          Original geschrieben von MaxP0W3R
          Und aus sicherheitstechnischen Gründen ist das ganze auch sinnvoll.
          was soll denn das bitte schön heissen ?

          Kommentar


          • #6
            Das mit der Sicherheit stimmt natürlich, wenn per Skript vom User eingetragener Inhalt in die DB gespeichert wird, und Sonderzeichen nicht explizit maskiert werden, ermöglicht das das eintragen von beliebigen Befehlen, also wird es zumindest mit dem mysql_query()-Befehl auch niemals funktionieren.

            Danke

            OffTopic:
            Hier wird aber schneller geantwortet als im XML-Forum

            Kommentar


            • #7
              aber da man als umsichtiger entwickler natürlich immer vom schlechten im menschen ausgeht, sieht das vorher und prüft die daten, die man bekommt...
              Ich denke, also bin ich. - Einige sind trotzdem...

              Kommentar


              • #8
                @mrhappiness: Natürlich, aber ich kenne prominente Beispiele, wo das nicht der Fall ist!

                Kommentar


                • #9
                  @happiness
                  also für nen moderator lieferst du in deinem ersten post aber echt einen traurigen beitrag. hätteste dir auch sparen können.

                  @threatstarter
                  du könntest deine sqlanweisungen in ein array einlesen und dann element für element abarbeiten lassen. ist vielleicht etwas mehr aufwand als wenn man das ganze mit semikola trennt aber wie gesagt gibt es dort auch sicherheitstechnische bedenken.

                  das ganze nennt sich dann sql injection. eine sql injection ist das einschleusen von sqlcode, der etwas verursacht, dass deine anwedung angreifbar macht. z.B. alle passwörter von usern auf einen standartwert zu setzen.

                  dazu kannst ja mal folgendes lesen
                  http://de3.php.net/manual/de/security.database.php

                  vor einiger zeit war dazu auch ein artikel unter www.heise.de/security/ zu finden. sehr interessant.

                  getreu dem motto .... "validate or die"

                  Kommentar


                  • #10
                    @happiness
                    also für nen moderator lieferst du in deinem ersten post aber echt einen traurigen beitrag. hätteste dir auch sparen können.
                    wenn du nach der banane weitergelesen hättest, hättest du das nicht gesagt. und php ist trocken genug als dass man schon mal ausschweifen kann .... und wenns zum obst ist
                    h.a.n.d.
                    Schmalle

                    http://impressed.by
                    http://blog.schmalenberger.it



                    Wichtige Anmerkung: Ich habe keine Probleme mit Alkohol ...
                    ... nur ohne :-)

                    Kommentar


                    • #11
                      Original geschrieben von slomox
                      Das mit der Sicherheit stimmt natürlich, wenn per Skript vom User eingetragener Inhalt in die DB gespeichert wird, und Sonderzeichen nicht explizit maskiert werden, ermöglicht das das eintragen von beliebigen Befehlen, also wird es zumindest mit dem mysql_query()-Befehl auch niemals funktionieren.

                      Danke

                      OffTopic:
                      Hier wird aber schneller geantwortet als im XML-Forum
                      Das aber nur, weil ein unfähige Programmierer geproggt hat. Schieb die
                      Schuld nicht auf das DBMS, MS-SQL und viele anderen DBMS können sowas,
                      und es eher eine Bereicherung als eine Sicherheitslücke.

                      Kommentar


                      • #12
                        @schmalle

                        ja der rest nach der banane war auch sehr hilfreich ...

                        Kommentar

                        Lädt...
                        X