Anzeigefehler: "<3" verschwunden

t_R · 15. September 2007, 02:09

Ich habe ein kleines Forum programmiert, dass mit PHP läuft und Einträge aus einer lokalen MySQL-Datenbank ausließt. Die neuen Beiträge, die ein User verfässt, werden über $_POST 'ausgelesen' und dann in die Datenbank geschrieben via "INSERT INTO posts [...]". Leider speichert 'er' aber die Zeichenfolge "<3" nicht. Alles was dahinter steht wird ebenfalls einfach so nicht gespeichert. Woran kann das liegen?

SeBa · 15. September 2007, 10:56

Klingt fast so, als würdest du deine Queries nicht ordentlich escapen. Zeig dochmal den Codeschnipsel der für das einfügen in die Datenbank verantwortlich ist. Gibt es eine Fehlermeldung?

Torben Brodt · 15. September 2007, 11:08

Ich glaube eher du gibst es nur falsch aus. Wenn du ein < ausgibst, dann öffnest du damit ein XML/HTML Tag.
Schau dir mal den geparsten HTML Quelltext an.

t_R · 15. September 2007, 15:22

Quellcode

<?php
if($_POST['sent'] == 1)
{
$tid = strip_tags($_POST['threadid']);
$titel = strip_tags($_POST['titel']);
$text = strip_tags($_POST['text']);
// In Datenbank schreiben
$sql = "INSERT INTO posts (threadid,userid,titel,text,datum) VALUES ('".$tid."','".$_SESSION['userid']."','".$titel."','".$text."','".time()."')";
$result = mysql_query($sql);
}
?>

Alles anzeigen

Das ist der entsprechende Code. Ich habe schon vermutet, dass es an strip_tags liegt, aber das ist die einzige Möglichkeit HTML in den Beiträgen zu deaktivieren, oder habe ich da etwas falsch verstanden?
Vielen Dank für eure Hilfe

Torben Brodt · 15. September 2007, 15:25

du kannst auch alles in HTML Entities umwandeln: [phpdoc]htmlentities[/phpdoc]

t_R · 15. September 2007, 15:33

d.h. ich soll die Beiträge so in die Datenbank speichern?:

Quellcode

<?php
if($_POST['sent'] == 1)
{
$tid = htmlentities($_POST['threadid']);
$titel = htmlentities($_POST['titel']);
$text = htmlentities($_POST['text']);
// In Datenbank schreiben
$sql = "INSERT INTO posts (threadid,userid,titel,text,datum) VALUES ('".$tid."','".$_SESSION['userid']."','".$titel."','".$text."','".time()."')";
$result = mysql_query($sql);
}
?>

Alles anzeigen

Torben Brodt · 15. September 2007, 16:48

ja.

Die Konvertierung beim Speichern kostet dich nur 1x Performace. Würdest du es beim Aufruf machen, würde es jedesmal Performance kosten.

SeBa · 15. September 2007, 18:39

Du musst deine SQL-Statements noch gegen Injections absichern.

t_R · 15. September 2007, 18:45

Funktioniert wunderbar! Vielen Dank!

Torben Brodt · 15. September 2007, 19:44

t_R schrieb:

Funktioniert wunderbar! Vielen Dank!

SQL Injections? Ja, das glaub ich

Lies dich ein: [coderwiki]Informationen/PHP-MySQL-Injection[/coderwiki]. In deinem Fall musst du zu htmlentities noch [phpdoc]mysql_real_escape_string[/phpdoc] anwenden.

Anzeigefehler: "<3" verschwunden

Anzeigefehler: "<3" verschwunden

Quellcode

Quellcode

t_R schrieb:

Teilen

Tags