mysql_real_escape_string

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • mysql_real_escape_string

    Hallo Zusammen,
    ich habe ein Problem mit mysql_real_escape_string(); aber zuerst zu meinem Verständnis der Funktion:
    $c = "\\'"; (backslash, einfaches Anführungszeichen) (gehört eigentlich in den Code, aber dann frisst er die backslashes nicht!)
    PHP-Code:

    $d 
    mysql_real_escape_string($c);
    echo 
    $d
    jetzt sollte da stehen: \\\\'
    Stimmt das so?
    Ich benütze diese Funktion aber für einen sehr langen Text (schreiben in die db) und da passiert nichts! (Es wird zuerst mysql_connect aufgerufen, magic_quotes_qpc und alle anderen magic_quotes sind off).
    Gibt es eventuell eine Stringlängenbegrenzung?
    Oder wo könnte der Fehler sonst noch liegen?
    Danke für jedes Interesse.
    Felix

    (nicht mal hier kommen die backslashes richtig...)

  • #2
    weitere nachforschung

    hallo zusammen,
    habe lange keine antwort erhalten?
    na ja, zeit für mich, mich schlau zu machen und mein verständnis zu erweitern:
    mysql_real_escape_string() schreibt gar keine zusätzlichen backslashes in die db? er braucht diese funktion nur um das statement zu verarbeiten, entfernt sie aber wieder vor dem schreiben und deshalb ist der text wie er geschrieben wurde in der db.
    stimmt mein verständnis?
    danke für die bestätigung!
    gruss
    felix

    Kommentar


    • #3
      Richtig
      Ich denke, also bin ich. - Einige sind trotzdem...

      Kommentar


      • #4
        Vielleicht hilft ein Beispiel:
        PHP-Code:
        $string "foo ' bar";
        $sql "SELECT * FROM table WHERE txt = '$string'"
        Wenn du die Query so absetzt, ist sie syntaktisch nicht korrekt, MySQL meldet einen Fehler.
        Sie sieht nämlich so aus:
        SELECT * FROM table WHERE txt = 'foo ' bar'
        Soweit stimmts ja:
        SELECT * FROM table WHERE txt = 'foo '
        aber das bar' hinten dran ist zuviel.

        Verwendest du aber mysql_real_escape_string(), sieht die Query so aus:
        SELECT * FROM table WHERE txt = 'foo \\' bar'
        Die Funktion entschärft nämlich alle Steuerzeichen. Das sind Zeichen, die die Semantik einer Query beeinflussen, wie zum Beispiel '.
        MySQL versteht ' als Stringbegrenzung, aber \\' als Character '. Ein einfaches ' wird deswegen niemals in der DB landen, denn es eröffnet oder beendet einen String in SQL. Will man ein ' in der DB speichern, muß man es vom Steuerzeichen zum Character degradieren. Dazu dient mysql_real_escape_string().

        In Kurz: Die Funktion wandelt Steuerzeichen in einfache Zeichen um, so daß sie die Syntax und Semantik einer Query nicht beeinflussen können.

        Dein Verständnis ist also richtig. Schreibt man 'foo\\'bar' in eine Query, ist das für MySQL der String "foo'bar". Das \\' wird als ein Zeichen angesehen - aber eben nicht als das Zeichen ' was ja ein Steuerzeichen wäre.

        Kommentar


        • #5
          Danke. Und danke für die ausführliche Antwort. Wieso steht das nirgendwo in der Referenz? oder ist mein ehemaliges Verständnis so abwegig?
          gruss
          felix

          Kommentar


          • #6
            Original geschrieben von gugug
            Wieso steht das nirgendwo in der Referenz?
            Da steht doch genau beschrieben, was die Funktion macht, und wofür sie einzusetzen ist -
            Maskiert spezielle Zeichen innerhalb eines Strings für die Verwendung in einer SQL-Anweisung
            oder ist mein ehemaliges Verständnis so abwegig?
            Wenn man sich erst mal klargemacht hat, wofür die Funktion da ist - ja.
            I don't believe in rebirth. Actually, I never did in my whole lives.

            Kommentar


            • #7
              Jaaaa, aber: ich verwende die Funktion ja in einer mysql Anweisung.
              Aber, was die Funktion genau macht, nämlich, dass sie nur die Zeichen für die mysql interne Verarbeitung maskiert, steht da nirgends.
              Klar man könnte mir Haarspalterei vorwerfen oder aber vielleicht habe ich auch nach zu viel gefragt...
              Nichts für Ungut und danke nochmals.
              gruess
              felix

              Kommentar


              • #8
                Original geschrieben von gugug
                Aber, was die Funktion genau macht, nämlich, dass sie nur die Zeichen für die mysql interne Verarbeitung maskiert, steht da nirgends.
                Das ergibt sich doch implizit.

                Die Funktion soll ja nicht die Daten korrumpieren, sondern sie nur für die Schnittstelle aufbereiten.
                I don't believe in rebirth. Actually, I never did in my whole lives.

                Kommentar


                • #9
                  Ja, aber wieso soll ich eine Funktion ausführen, die für mich im Prinzip nichts macht? Das führt zur Frage, wieso mysql nicht automatisch alle Strings real_escaped? Da gebe ich mir die Antwort gleich selbst, weil das je nach dem gewollt sein könnte.
                  Aber aufgrund der zweiten Antwort muss ich wissen, was sie macht, wenn es für mich kein Egebnis produziert. Try and Error funktioniert sonst nicht...
                  Gruess
                  Felix

                  Kommentar


                  • #10
                    Original geschrieben von gugug
                    Ja, aber wieso soll ich eine Funktion ausführen, die für mich im Prinzip nichts macht?
                    Das täte sie für dich ja nur, wenn du nicht in der Lage wärst zu Lesen, was das Manual beschreibt (oder nicht in der, Gelesenes zu verstehen).
                    Das führt zur Frage, wieso mysql nicht automatisch alle Strings real_escaped?
                    Weil sie das gar nicht kann [1].
                    Sie bekommt einen String übergeben, der in PHP zusammengesetzt wurde - und entweder enthält dieser String eine SQL-Anweisung in einer Syntax, die sie verstehen kann, oder eben nicht - und dann müsste sie wild rumraten.
                    Und wollen wir eine Datenbank, die versucht zu raten was wir gemeint haben könnten? Nein, wollen wir nicht - das könnte viel zu leicht ins Auge gehen - wir wollen eine Datenbank, die genau das tut, was wir ihr sagen.


                    [1] mysqli und prepared Statements sind zwar schon was Fein(er)es - aber da erledigt das auch die API, und nicht "die Datenbank selber".
                    Aber aufgrund der zweiten Antwort muss ich wissen, was sie macht, wenn es für mich kein Egebnis produziert.
                    Sie produziert doch ein Ergebnis - einen String, in dem Sonderzeichen derart maskiert sind, dass MySQL sie nicht mehr missverstehen kann.
                    I don't believe in rebirth. Actually, I never did in my whole lives.

                    Kommentar


                    • #11
                      Ja, aber um herauszufinden, was die Funktion macht, wende ich sie an. Ich schaue in der DB nach und siehe da, es ist nichts passiert. Aber überall schreiben sie, man soll diese Funktion verwenden. Da schau ich im Manual nach und lese: "Maskiert spezielle Zeichen innerhalb eines Strings für die Verwendung in einer SQL-Anweisung". Da denke ich mir, gut wird wohl so sein, dennoch möchte ich wissen wie die genau funktioniert.
                      Und ein kleiner Zusatz im Manual à la "maskiert Strings für die Verarbeitung innerhalb des mysql Blocks" ist wohl nicht zu viel verlangt und würde wahrscheinlich anfängliche Unklarheiten beseitigen.
                      gruess

                      Kommentar


                      • #12
                        Original geschrieben von gugug
                        Ja, aber um herauszufinden, was die Funktion macht, wende ich sie an. Ich schaue in der DB nach und siehe da, es ist nichts passiert.
                        "Was ich nicht sehen kann, das gibt es nicht"?

                        Du schaust zu spät nach. Du hast in PHP eine Funktion angewendet, deren Einsatz notwendig ist, bevor du Daten von PHP an MySQL übergibst. Also schau auch "in" PHP nach (Kontrollausgabe), bevor du die Daten an MySQL übergibst.

                        Da schau ich im Manual nach und lese: "Maskiert spezielle Zeichen innerhalb eines Strings für die Verwendung in einer SQL-Anweisung". Da denke ich mir, gut wird wohl so sein, dennoch möchte ich wissen wie die genau funktioniert.
                        Und ein kleiner Zusatz im Manual à la "maskiert Strings für die Verarbeitung innerhalb des mysql Blocks" ist wohl nicht zu viel verlangt
                        Nein, sondern überflüssig.

                        Was soll denn ein "MySQL Block" sein?

                        Wir setzen Daten in eine MySQL-Anweisung ein - und genau davon ist da die Rede.
                        und würde wahrscheinlich anfängliche Unklarheiten beseitigen.
                        Nein, es wäre eher noch verwirrend - ausser dir weiss vermutlich kein Mensch, was ein "MySQL Block" sein soll.
                        I don't believe in rebirth. Actually, I never did in my whole lives.

                        Kommentar

                        Lädt...
                        X