MySQL " in Textfeldern

1st Baseman · 10.06.2003, 00:51

Hi!

Ich habe eine Website mit Formular, dort können diverse Textfelder ausgefüllt werden, der Inhalt derselben wird dann mittels Perl-Skript in eine MySQL-Datenbank geschrieben, a la

INSERT INTO tabelle (feld1,feld2) VALUES ("value1","value2");

Wenn allerdings ins Formularfeld ein Anführungszeichen (") eingegeben wird, haut die ganze Abfrage natürlich nicht hin.

Wie kann man dieses Problem lösen? Muß ich mit Perl den Textstring nach Anführungszeichen durchsuchen und diese entfernen/ersetzen (womit?)

Wäre sehr dankbar für Vorschläge!

markisonline · 10.06.2003, 00:53

_m3 kommt gleich...

1st Baseman · 10.06.2003, 01:17

Zitat:

_m3 kommt gleich...

Das ist zwar auch ein Vorschlag (Einladung, Drohung...?) aber so hab ich das nicht gemeint!

markisonline · 10.06.2003, 01:22

Meiner Meinung nach, ein Perl Extremistpositiv gemeint _m3

Zitat:

Das ist zwar auch ein Vorschlag (Einladung, Drohung...?) aber so hab ich das nicht gemeint!

Ein Vorschlag, dass du warten sollst bis _m3 diesen thread liest und antwortet.
Eine Einladung für _m3.
Drohung?!?!?

_m3 · 10.06.2003, 01:57

*dramatische Orgelmusik*

* _m3 erscheint komplett schwarz gekleidet in einer Rauchwolke *

SIE HABEN NACH MIR GERUFEN?

Du mochtest dir quote() aus dem DBI-Modul ansehen.

Weiters moechtest Du NIE NIE NIE Werte aus einem Formular ohne quote() in eine Datenbank schreiben. Da koennen dir boesartige Seelen garstige Sachen mit der Datenbank anstellen, wenn Du nicht auspasst. Ich wuerde sowas ja nieeeeee machen, aber .....

Als weitere Lektuere empfehle ich "perldoc perlsec".

markisonline · 10.06.2003, 02:08

Zitat:

Original geschrieben von _m3
*dramatische Orgelmusik*

* _m3 erscheint komplett schwarz gekleidet in einer Rauchwolke *

SIE HABEN NACH MIR GERUFEN?

voila,...
it-magazin.at entpuppt sich als david copperfield

Alex1 · 10.06.2003, 08:39

Abgesehen davon, nur als allgemeiner Tipp: traue keinen Eingaben, die ein User gemacht hat. Sei paranoid!

1st Baseman · 10.06.2003, 09:29

Muchas Gracias!

markisonline · 11.06.2003, 00:36

por favor

_m3 · 11.06.2003, 00:39

Acapulco

10.06.2003, 00:51	#1
1st Baseman Veteran Registriert seit: 11.03.2001 Alter: 48 Beiträge: 327	MySQL " in Textfeldern Hi! Ich habe eine Website mit Formular, dort können diverse Textfelder ausgefüllt werden, der Inhalt derselben wird dann mittels Perl-Skript in eine MySQL-Datenbank geschrieben, a la INSERT INTO tabelle (feld1,feld2) VALUES ("value1","value2"); Wenn allerdings ins Formularfeld ein Anführungszeichen (") eingegeben wird, haut die ganze Abfrage natürlich nicht hin. Wie kann man dieses Problem lösen? Muß ich mit Perl den Textstring nach Anführungszeichen durchsuchen und diese entfernen/ersetzen (womit?) Wäre sehr dankbar für Vorschläge!

10.06.2003, 00:53	#2
markisonline Master Registriert seit: 24.04.2003 Alter: 41 Beiträge: 626	_m3 kommt gleich... ____________________________________ GNU/Linux, die süßeste Verführung seit es Computer gibt. Programmieren ist eine Wissenschaft sowie Kunst... Software-Patente sind wie in Kunst, jeden Pinselstrich zu patentieren. Windows: A 64-bit rewrite of a 32-bit extension and GUI shell to 16-bit patch to an 8-bit operating system originally coded for a 4-bit microprocessor and sold by a 2-bit company that can\'t stand one bit of competition.

10.06.2003, 01:57	#5
_m3 Inventar Registriert seit: 24.09.2001 Beiträge: 7.335	dramatische Orgelmusik * _m3 erscheint komplett schwarz gekleidet in einer Rauchwolke * SIE HABEN NACH MIR GERUFEN? Du mochtest dir quote() aus dem DBI-Modul ansehen. Weiters moechtest Du NIE NIE NIE Werte aus einem Formular ohne quote() in eine Datenbank schreiben. Da koennen dir boesartige Seelen garstige Sachen mit der Datenbank anstellen, wenn Du nicht auspasst. Ich wuerde sowas ja nieeeeee machen, aber ..... Als weitere Lektuere empfehle ich "perldoc perlsec". ____________________________________ Weiterhin zu finden auf http://martin.leyrer.priv.at , http://twitter.com/leyrer , http://www.debattierclub.net/ , http://www.tratschen.at/ und via Instant Messaging auf Jabber: m3 <ät> cargal.org .

10.06.2003, 08:39	#7
Alex1 Alter Sack Registriert seit: 19.09.1999 Ort: An der schönen alten Donau Alter: 53 Beiträge: 1.579 Mein Computer	Abgesehen davon, nur als allgemeiner Tipp: traue keinen Eingaben, die ein User gemacht hat. Sei paranoid! ____________________________________ Viele Grüße Alex (SUV-Fahrer aus Leidenschaft)

11.06.2003, 00:36	#9
markisonline Master Registriert seit: 24.04.2003 Alter: 41 Beiträge: 626	por favor ____________________________________ GNU/Linux, die süßeste Verführung seit es Computer gibt. Programmieren ist eine Wissenschaft sowie Kunst... Software-Patente sind wie in Kunst, jeden Pinselstrich zu patentieren. Windows: A 64-bit rewrite of a 32-bit extension and GUI shell to 16-bit patch to an 8-bit operating system originally coded for a 4-bit microprocessor and sold by a 2-bit company that can\'t stand one bit of competition.

10.06.2003, 09:29	#8
1st Baseman Veteran Registriert seit: 11.03.2001 Alter: 48 Beiträge: 327	Muchas Gracias!

11.06.2003, 00:39	#10
_m3 Inventar Registriert seit: 24.09.2001 Beiträge: 7.335	Acapulco ____________________________________ Weiterhin zu finden auf http://martin.leyrer.priv.at , http://twitter.com/leyrer , http://www.debattierclub.net/ , http://www.tratschen.at/ und via Instant Messaging auf Jabber: m3 <ät> cargal.org .

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)