mysql_real_escape_string

weitere nachforschung

hallo zusammen,
habe lange keine antwort erhalten?
na ja, zeit für mich, mich schlau zu machen und mein verständnis zu erweitern:
mysql_real_escape_string() schreibt gar keine zusätzlichen backslashes in die db? er braucht diese funktion nur um das statement zu verarbeiten, entfernt sie aber wieder vor dem schreiben und deshalb ist der text wie er geschrieben wurde in der db.
stimmt mein verständnis?
danke für die bestätigung!
gruss
felix

Richtig

Vielleicht hilft ein Beispiel:
Wenn du die Query so absetzt, ist sie syntaktisch nicht korrekt, MySQL meldet einen Fehler.
Sie sieht nämlich so aus:
SELECT * FROM table WHERE txt = 'foo ' bar'
Soweit stimmts ja:
SELECT * FROM table WHERE txt = 'foo '
aber das bar' hinten dran ist zuviel.

Verwendest du aber mysql_real_escape_string(), sieht die Query so aus:
SELECT * FROM table WHERE txt = 'foo \\' bar'
Die Funktion entschärft nämlich alle Steuerzeichen. Das sind Zeichen, die die Semantik einer Query beeinflussen, wie zum Beispiel '.
MySQL versteht ' als Stringbegrenzung, aber \\' als Character '. Ein einfaches ' wird deswegen niemals in der DB landen, denn es eröffnet oder beendet einen String in SQL. Will man ein ' in der DB speichern, muß man es vom Steuerzeichen zum Character degradieren. Dazu dient mysql_real_escape_string().

In Kurz: Die Funktion wandelt Steuerzeichen in einfache Zeichen um, so daß sie die Syntax und Semantik einer Query nicht beeinflussen können.

Dein Verständnis ist also richtig. Schreibt man 'foo\\'bar' in eine Query, ist das für MySQL der String "foo'bar". Das \\' wird als ein Zeichen angesehen - aber eben nicht als das Zeichen ' was ja ein Steuerzeichen wäre.

Danke. Und danke für die ausführliche Antwort. Wieso steht das nirgendwo in der Referenz? oder ist mein ehemaliges Verständnis so abwegig?
gruss
felix

Da steht doch genau beschrieben, was die Funktion macht, und wofür sie einzusetzen ist -
Wenn man sich erst mal klargemacht hat, wofür die Funktion da ist - ja.

Jaaaa, aber: ich verwende die Funktion ja in einer mysql Anweisung.
Aber, was die Funktion genau macht, nämlich, dass sie nur die Zeichen für die mysql interne Verarbeitung maskiert, steht da nirgends.
Klar man könnte mir Haarspalterei vorwerfen oder aber vielleicht habe ich auch nach zu viel gefragt...
Nichts für Ungut und danke nochmals.
gruess
felix

Das ergibt sich doch implizit.

Die Funktion soll ja nicht die Daten korrumpieren, sondern sie nur für die Schnittstelle aufbereiten.

Ja, aber wieso soll ich eine Funktion ausführen, die für mich im Prinzip nichts macht? Das führt zur Frage, wieso mysql nicht automatisch alle Strings real_escaped? Da gebe ich mir die Antwort gleich selbst, weil das je nach dem gewollt sein könnte.
Aber aufgrund der zweiten Antwort muss ich wissen, was sie macht, wenn es für mich kein Egebnis produziert. Try and Error funktioniert sonst nicht...
Gruess
Felix

Das täte sie für dich ja nur, wenn du nicht in der Lage wärst zu Lesen, was das Manual beschreibt (oder nicht in der, Gelesenes zu verstehen).
Weil sie das gar nicht kann [1].
Sie bekommt einen String übergeben, der in PHP zusammengesetzt wurde - und entweder enthält dieser String eine SQL-Anweisung in einer Syntax, die sie verstehen kann, oder eben nicht - und dann müsste sie wild rumraten.
Und wollen wir eine Datenbank, die versucht zu raten was wir gemeint haben könnten? Nein, wollen wir nicht - das könnte viel zu leicht ins Auge gehen - wir wollen eine Datenbank, die genau das tut, was wir ihr sagen.


[1] mysqli und prepared Statements sind zwar schon was Fein(er)es - aber da erledigt das auch die API, und nicht "die Datenbank selber".
Sie produziert doch ein Ergebnis - einen String, in dem Sonderzeichen derart maskiert sind, dass MySQL sie nicht mehr missverstehen kann.

Ja, aber um herauszufinden, was die Funktion macht, wende ich sie an. Ich schaue in der DB nach und siehe da, es ist nichts passiert. Aber überall schreiben sie, man soll diese Funktion verwenden. Da schau ich im Manual nach und lese: "Maskiert spezielle Zeichen innerhalb eines Strings für die Verwendung in einer SQL-Anweisung". Da denke ich mir, gut wird wohl so sein, dennoch möchte ich wissen wie die genau funktioniert.
Und ein kleiner Zusatz im Manual à la "maskiert Strings für die Verarbeitung innerhalb des mysql Blocks" ist wohl nicht zu viel verlangt und würde wahrscheinlich anfängliche Unklarheiten beseitigen.
gruess

"Was ich nicht sehen kann, das gibt es nicht"?

Du schaust zu spät nach. Du hast in PHP eine Funktion angewendet, deren Einsatz notwendig ist, bevor du Daten von PHP an MySQL übergibst. Also schau auch "in" PHP nach (Kontrollausgabe), bevor du die Daten an MySQL übergibst.

Nein, sondern überflüssig.

Was soll denn ein "MySQL Block" sein?

Wir setzen Daten in eine MySQL-Anweisung ein - und genau davon ist da die Rede.
Nein, es wäre eher noch verwirrend - ausser dir weiss vermutlich kein Mensch, was ein "MySQL Block" sein soll.