was ist sicherer/besser ?

Falls du noch im Vorhinein eine Prüfung der variabel durchführen mächtest wäre folgender Code sinnvoll:

Das reicht so nicht, jmc. Du solltest nicht einfach eine leere Query an die DB senden, sondern lieber vorher prüfen, ob der POST-Wert gesetzt ist. Ist dies nicht der Fall, kannst du davon ausgehen, dass dein Formular nicht/nicht richtig versendet wurde und in diesem Falle solltest du lieber eine entsprechende Fehlermeldung ausgeben.
Zu dem id-Feld für den nächsten auto_increment-Wert und dem time() habe ich ja schon was gesagt!

Btw: Brich deinen Code doch bitte mal um!

tut mir Leid, dass der Code nicht umgebrochen war. Genau damit kannst du ja die Existenz der POST- Variable testen. Ich beschäftige mich jetzt seit 3 jahren intensiv mit Assembler und wenn du dir einmal den hiermit erstellten Code ansiehst kannst du erkennen, dass er sowohl kürzer, als auch schneller ist, falls auf den an sqlstr übergebenen Wert mindestens einmal im Nachhinein noch mit mysql_real_escape_string zugegriffen wird, als wenn du z.B. sowas machst:

hallo,

ups, das escapen habe ich vergessen, stimmt.

ich meinte vor allem den unterschied zwischen variante a :
[COLOR=blue]$eintrag = "INSERT INTO etc....";
$eintragen = mysql_query($eintrag) etc;[/COLOR]

und dem direkten query, variante b :
[COLOR=blue]mysql_query("INSERT INTO etc ");[/COLOR]

ich hätte evtl getippt, daß variante a besser ist, aber keine ahnung.
(escapen bei beiden vorausgesetzt)

bzgl dem anderen prüfungscode brauch ich noch etwas zeit, komme gerade nicht nach mit dem umschreiben und vergleichen
komme aber gerne und bestimmt demnächst darauf zurück

viele grüße, skys

Klar testest du auf Existenz, aber macht es oft wenig Sinn, eine Query abzusetzen, wenn entsprechende POST-Daten nicht vorhanden sind. Nimm mal folgenden Dateiaufbau an:
Hier macht deine Vorgehensweise lange nicht so viel Sinn!

@jmc

• Das mit der Referenz ist in diesem Fall völlig überflüssig, da du den Wert sowieso zurückgibst
• Was sollen die zwei returns nacheinander?
• Wie von PHP-Desaster angesprochen, wird bei dir nicht auf einen leeren Wert geprüft.
• Wenn schon eine Funktion, zur Überprüfung, dann doch besser eien, die auch noch den Datentyp mit einbezieht, für nummerische Werte ist mysql_real_escape_string() eigentlich sinnlos

Wenn man das berücksichtigt, kommt man vielleicht etwa auf so eine Funktion: PS. Die Zeit wird in im Typ DATETIME gespeichert, und mit der MySQL-Funktion NOW() eingefügt.
Natürlich kann man die Überprüfung noch ausbauen. Ist ja nur ein Anhaltspunkt

@skys

Beide sind gleich sicher, aber die zweite Variante ist etwas besser, weil da kein Speicher für deine Variable freigegeben werden muss.

Das ist richtig und das habe ich nie bestritten, meines war nur ein Beispiel. Natürlich solltest du je nach Verwendung die Eingaben erst überprüfen und dann erst an die Datenbank senden.
Deine Variante ginge jedoch noch etwas kürzer bei der Verwendung von mehreren solchen abfolgen:

[list=1][*]Die Referenz ist nötig um die selbe Variable wieder zu verwenden und um sie mit isset zu prüfen[*]Das ist ein Fehler meinerseits und sollte ein Kommentar sein[*]Es ist nur ein Beispiel und eine Prüfung sollte natürlich vorgenommen werden, was ich nie bestritten habe, sonder nur wie.[*]Das Beispiel sqlstr() ist keine Funktion zur Überprüfung und floatval, etc. machen hier nicht viel Sinn, da die Datentypen beim eintrag in eine MySQL Datenbank über PHP so oder so angepasst werden.[/list=1]

Das ist Bullshit. Du übergibst die Variable deiner Funktion. Dort "escape'st" du sie und gibst sie dann zurück. Alles weitere geschieht mit dem zurückgegbenen Wert.
Und das die Datenbank den Typ selber überprüft, mag bei einem INSERT noch zutreffen, innerhalb einer WHERE-Clause würde ich mich nicht darauf verlassen.

Die Referenz ist also für die Vermeidung von Fehlern und für die Beibehaltung des aktuellen scopes notwendig.

Bei WHERE-Clauses wird ebenfalls nicht zwischen datentypen unterschieden und die WHERE-Clauses werden im Voraus an den zu durchsuchenden Typ angepasst. Where ist ja nicht einmal case sensitive, wenn du den string nicht als binary übergibst

Ist aber keine schöne Kapselung. Wesentlich sinnvoller ist es die Werte schon vorher zu prüfen um die direkt auf Fehler reagieren zu können, bzw. Globale Variablen über eine eigenen Klasse abzufragen.

Je nach Fall mag es sinnvoller sein, diese Variante ist aber ziemlich speicherfreundlich und schnell.

Wenn es um Speicherfreundlichkeit geht, bist du bei PHP an der falschen Adresse. Eine interpretierte Sprache mit Assembler zu vergleichen ist nicht sinnvoll!
Sorry, aber so einen Furz interessiert doch keinen! In "vernünftigen" Projekten würdest du objektorientiert arbeiten, da haust du dir deinen Speicher so voll, dass mein Vorgehen im Gegensatz zu deiner sqlstr-Funktion der Tropfen auf dem heißen Stein wäre. Speicherengpässe wirst du dann kaum bei einer Variablenüberprüfung finden!
Btw: Du solltest - auch wenn MySQL das für dich kann - die richtigen Datentypen verwenden!

*Just my 2 cents*

hallo,

ich muß mich nochmal dazwischen klemmen :

es gingen ein paar verständnisfragen unter und ich würde mich freuen, wenn mir noch jemand sagen könnte, ob ich damit richtig oder falsch liege :

und dann noch 2 punkte :
muß ich abfragen auch escapen (gemeint sich solche abfragen, die ohne formularfelder stattfinden) ?
(im php-manual steht sowas unter dem letzten farbigen code-beispiel (vor den kommentaren) bei mysql_real_escape_string)

jmc schrieb dann auch noch folgendes :
"Falls du noch im Vorhinein eine Prüfung der variabel durchführen mächtest..."
nun bin ich mir nicht sicher, ob das euer diskussionspunkt war ?
und ich weiß nicht, wie wichtig/sinnvoll es ist.
ist damit zb gemeint, daß ich eingabefelder so absichere, daß zb nur buchstaben oder nur zahlen gesendet werden können (das könnte ich mir evtl noch sinnvoll vorstellen) ?

reallife hatte in meinem thread unter projekthilfe zb diese gute idee (konnte ich zum damaligen zeitpunkt nur nicht einbauen, da ich nur weiße seiten sah), die vielleicht genau das betrifft :
dh, ich müßte, um alles mit einzubeziehen :
- zuerst escapen wie zb :
[COLOR=blue]$beta = mysql_real_escape_string($_POST['beta']);[/COLOR]
- dann die funktion sqlstr mit if isset :
[COLOR=blue]function sqlstr(&$addr)
{
if(isset($addr)){return mysql_real_escape_string($addr);}
return "";
}[/COLOR]
- vor dem ende dieses if noch das if preg_match von reallife einbauen
[COLOR=blue]if( preg_match("~^d+$~", $wegid) )
{
[...]
}[/COLOR]
- und dann [COLOR=blue]mysql_query("INSERT INTO ...[/COLOR]

so dann alles richtig ?
viele fragen, ich weiß *sorry*

danke + viele grüße, skys

isset prüft ob eine Var existiert, sagt aber nichts über deren Inhalt aus! Eine Var mit einem Leerstring existiert auch ist aber empty
Nö, das musst du imho nur machen wenn du Usereingaben in eine Query einbaust.
Es würde auch ausreichen, wenn du einen Typecast auf int machen würdest
Gruss

tobi

Ich gehe mal nur auf das letzte Codeschnipselchen ein, da das die Fragen beantworten sollte:
Hoffe, du kannst damit was anfangen!