Problemer med at indsætte i database med tegn

Du bør altid bruge mysql_real_escape_string() så undgår du injections

http://dk.php.net/manual/en/function.mysql-real-escape-string.php

kan du ikke prøve at sætte det sammen med min kode så jeg se hvordan det virker i praksis ;) ?

Johh, nu bruger det selv i en funktion, men vil mene:
mysql_query("INSERT INTO kunde (navn) VALUES ('". mysql_real_escape_string($navn) ."')");

Den funktion jeg bruger, "hentet" fra linket til php.net

function safe_query($var, $seek = false) {

    if(get_magic_quotes_gpc()) {
    $var = stripslashes($var);
    }

    if($seek != true) {

        if(!is_numeric($var)) {
        $var = "'". mysql_real_escape_string($var) ."'";
        }

    }else{

    $var = "'%". mysql_real_escape_string($var) ."%'";

    }

    return $var;
}

Lavet for også at kunne bruge den som søgning i DB

mysql_query("INSERT INTO kunde (navn) VALUES (". safe_query($navn) .")");

Det var lidt voldsomt det må kunne laves kortere :)

næhh, ikke rigtigt.
Men ok, du kan fjerne muligheden for at søge.

function safe_query($var) {

    if(get_magic_quotes_gpc()) {
    $var = stripslashes($var);
    }

        if(!is_numeric($var)) {
        $var = "'". mysql_real_escape_string($var) ."'";
        }

    return $var;
}

if(get_magic_quotes_gpc()) { // Tjekker om PHP er sat til at escape "farlige tegn"

if(!is_numeric($var)) { // Tjekker om det er et tal. I så fald behøves der ikke ' omkring $var i query

jamen kan man ikke bare lave noget streng replace, for at fjerne de tegn som MySQL ikke kan klare....Jeg skal kun bruge det når jeg indsætter noget i databasen...

Jeg har mange variabler der bliver indsat så bliver det jo til meget kode!

Jamen vil du gemme tegn som ' og " eller vil du bare fjerne dem?

det skal stædig være der, men det skal jo være sådan at mysql ikke går kold over dem ?

mysql_real_escape_string($navn) er jo også en form for replace, og hvis du bruger safe_query-funktionen, skal du jo også kun oprette funktionen en gang, og så ellers bare kalde den, fra de andre sider (li'som hvis du ville sætte en replace ind)

altså man kan ikke kun bruge denne:

$navn = mysql_real_escape_string($navn);

Det kan du sagtens, med mindre ikke allerede har en connection til databasen åben (og det går jeg ud fra du har, når du vil foretage et db-kald). Det er et opslag i databasen, der foretages, og såfremt der er adgang dertil (via en connection), kan du sagtens køre ovenstående, men hvis du har førsøgt ovenstående i en selvstændig test-fil uden en db-connection åben, vil du få en fejl

ok men hvorfor er det så at i siger jeg ikke kan nøjes med at bruge ovenstående ?

og er det kun ' og " som den ikke kan tage ?

altså med $navn = mysql_real_escape_string($navn); bliver Peter's lavet om til Peter\'s

så den virker jo fint, er det så ikke nok at bruge den ?

virker også fint hvis man ikke har connect til database osv... ?

Funktionen safe_query er bare en lidt mere avanceret version, der først går ind og tjekker om magic-quotes er sat op på severen og derefter forholdersig til at det er in insert eller search og til sidst, ud fra om variablen er et tal, undlader at sætte '' omkring. Det er for så vidt unødvendigt, og kun noget der kan gøre din programmering lettere fremover, ikke hvis du skal ændre alle dine koder i forhold til det ;)

Og for at svare på dit spørgsmål, jo, du kan sagtens nøjes med $navn = mysql_real_escape_string($navn);, såfremt du ved, at din server ikke anvender magic-quotes :)

ok, det virkede på den gamle server, men på den nye gør det ikke så der må magic-quotes være slået fra, hvis man så kommer over på en server hvor det er slået til går der så ged i det når man bruger mysql_real_escape_string ?


Er det noget sikkerhedsmæssigt at man slå magic quotes fra på serveren ?

Ikke som sådan, men det er jo ikke altid nødvendigt at anvende escapes i strenge, og så skal du jo arbejde den anden vej, og så er der selvfølgelig et performance-hensyn.

http://dk.php.net/manual/en/security.magicquotes.whynot.php