[php] הכנסת נתונים למסד - הוסטס

Xinxy · 30-07-09, 14:39

אהלן, כשאני מכניס למסד נתונים מידע, בשביל הדוגמה אני מכניס לו את זה:

PHP קוד:


			
$query = mysql_query("INSERT INTO `blabla` VALUES('bla', '".mysql_real_escape_string(htmlspecialchars("\""))."')");

זה מכניס לי bla
וגם

קוד:

\&quot;

שכאן זה הבעיה
כשאני מוציא את הנתונים הם יוצאים בדיוק איך שהם נראים בטבלה, כלומר

קוד:

bla, \&quot;

ולא ככה:

קוד:

bla, "

אמ.. אז איך אפשר להכניס את הנתונים בלי שתהיה בעית אבטחה והנתונים יוכנסו טוב?

תודה לעוזרים

EpsilonTal · 30-07-09, 14:50

אתה יכול לעשות שברגע שהמערכת מוציאה את הנתונים
שתתרגם כל \" ל רווח

**Daniel** · 30-07-09, 15:14

ציטוט:

נכתב במקור על ידי EpsilonTal

אתה יכול לעשות שברגע שהמערכת מוציאה את הנתונים
שתתרגם כל \" ל רווח

וזאת תיהיה אי יעילות רצינית... בכל מקרה, מה אתה עושה כשאתה מציג את המידע?

Xinxy · 30-07-09, 15:57

אמ.. לא עושה שום דבר :\

PHP קוד:


			
while($row = mysql_fetch_array($kk))
{
echo $row['one'].",".$row['two'];
}

עריכה:
אם אני יעשה ההפך זה ישנה? כלומר:

PHP קוד:


			
htmlspecialchars(mysql_real_escape_string("\""));

**Daniel** · 30-07-09, 17:29

תקרא על מה htmlspecialchars עושה ומה mysql_real_escape_string עושה.

אם אתה עושה בדיוק ככה כמו שאמרת, אני לא רואה שום סיבה למה זה לא מוצג כראוי..

Xinxy · 30-07-09, 18:01

ציטוט:

נכתב במקור על ידי MasterT

תקרא על מה htmlspecialchars עושה ומה mysql_real_escape_string עושה.

אם אתה עושה בדיוק ככה כמו שאמרת, אני לא רואה שום סיבה למה זה לא מוצג כראוי..

אני יודע מה זה עושה, זה לא עובד לי כמו שעשיתי אז אני פשוט מחפש דרכים אחרות :\

**Daniel** · 30-07-09, 19:10

אני לא שואל סתם.

אני בדקתי - עשיתי שחזור, בדיוק מה שאתה "כביכול" עשית וזה עבד לי מצויין. לא היה שום סלאש ושום כלום...

עכשיו אתה מוכן בבקשה לתת לנו את הקוד המלא? כי זה לא יכול להיות הקוד המלא, כי הוא עובד מצויין.

אדיר · 30-07-09, 19:33

לפני שאתה משתמש ב- mysql_real_escape_string תוודא קודם כל מה קורה עם ה- magic_quotes.

**Daniel** · 30-07-09, 19:40

ציטוט:

נכתב במקור על ידי xPerfection

לפני שאתה משתמש ב- mysql_real_escape_string תוודא קודם כל מה קורה עם ה- magic_quotes.

בדוגמא שהוא נתן

PHP קוד:


			
 $query = mysql_query("INSERT INTO `blabla` VALUES('bla', '".mysql_real_escape_string(htmlspecialchars("\""))."')");

אין שום קשר ל-magic quotes. מה שמראה שהוא לא מראה לנו את הקוד האמיתי.

אדיר · 31-07-09, 03:45

הקשר ל- magic quotes הוא שאם הוא מופעל זה גורם לאסקפינג כפול ומזה נוצרות בעיות.
הוא לא מראה את כל הקוד זה ברור, לא נראה לי שהבנת למה בדיוק התכוונתי..

30-07-09, 14:39	# 1
Xinxy חבר בקהילה מיני פרופיל תאריך הצטרפות: Feb 2008 הודעות: 259	[php] הכנסת נתונים למסד אהלן, כשאני מכניס למסד נתונים מידע, בשביל הדוגמה אני מכניס לו את זה: PHP קוד: $query = mysql_query("INSERT INTO `blabla` VALUES('bla', '".mysql_real_escape_string(htmlspecialchars("\""))."')"); זה מכניס לי bla וגם קוד: \" שכאן זה הבעיה כשאני מוציא את הנתונים הם יוצאים בדיוק איך שהם נראים בטבלה, כלומר קוד: bla, \" ולא ככה: קוד: bla, " אמ.. אז איך אפשר להכניס את הנתונים בלי שתהיה בעית אבטחה והנתונים יוכנסו טוב? תודה לעוזרים

30-07-09, 14:50	# 2
EpsilonTal חבר וותיק מיני פרופיל תאריך הצטרפות: Feb 2006 הודעות: 1,582	אתה יכול לעשות שברגע שהמערכת מוציאה את הנתונים שתתרגם כל \" ל רווח __________________ סיכומים מוכנים סיכומים בהיסטוריה, סיכומים באזרחות Best Stocks to Buy - מניות מומלצות למעקב בבורסה הישראלית לשנת 2022

30-07-09, 15:57	# 4
Xinxy חבר בקהילה מיני פרופיל תאריך הצטרפות: Feb 2008 הודעות: 259	אמ.. לא עושה שום דבר :\ PHP קוד: `while($row = mysql_fetch_array($kk)) { echo $row['one'].",".$row['two']; }` עריכה: אם אני יעשה ההפך זה ישנה? כלומר: PHP קוד: `htmlspecialchars(mysql_real_escape_string("\""));` Last edited by Xinxy; 30-07-09 at 16:14..

30-07-09, 19:33	# 8
אדיר עסק רשום [?] מיני פרופיל תאריך הצטרפות: Mar 2008 מיקום: אשקלון הודעות: 1,714	לפני שאתה משתמש ב- mysql_real_escape_string תוודא קודם כל מה קורה עם ה- magic_quotes. __________________ LinkedIn \| אני, אדיר \| העלאת תמונות

31-07-09, 03:45	# 10
אדיר עסק רשום [?] מיני פרופיל תאריך הצטרפות: Mar 2008 מיקום: אשקלון הודעות: 1,714	הקשר ל- magic quotes הוא שאם הוא מופעל זה גורם לאסקפינג כפול ומזה נוצרות בעיות. הוא לא מראה את כל הקוד זה ברור, לא נראה לי שהבנת למה בדיוק התכוונתי.. __________________ LinkedIn \| אני, אדיר \| העלאת תמונות


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

30-07-09, 17:29	# 5
Daniel אחראי פורום מיני פרופיל תאריך הצטרפות: Mar 2007 הודעות: 2,875	תקרא על מה htmlspecialchars עושה ומה mysql_real_escape_string עושה. אם אתה עושה בדיוק ככה כמו שאמרת, אני לא רואה שום סיבה למה זה לא מוצג כראוי..

30-07-09, 19:10	# 7
Daniel אחראי פורום מיני פרופיל תאריך הצטרפות: Mar 2007 הודעות: 2,875	אני לא שואל סתם. אני בדקתי - עשיתי שחזור, בדיוק מה שאתה "כביכול" עשית וזה עבד לי מצויין. לא היה שום סלאש ושום כלום... עכשיו אתה מוכן בבקשה לתת לנו את הקוד המלא? כי זה לא יכול להיות הקוד המלא, כי הוא עובד מצויין.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)