Insert Into Daten per php in Datenbank schreiben und schützen
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 |
$eintrag = "INSERT INTO daten ( vorname, nachname, email, alter, ) VALUES ( '".$vorname."', '".$nachname."', '".<a href="http://www.php.net/mysql_real_escape_string">mysql_real_escape_string</a>($emailAdresse)."', '".<a href="http://www.php.net/mysql_real_escape_string">mysql_real_escape_string</a>($Alter)."' )"; //Daten einfügen in die DB $eintragen = <a href="http://www.php.net/mysql_query">mysql_query</a>($eintrag); //Nur wärend der ENTWICKLING! if (!$eintragen) { // die('Ungültige Anfrage: ' . mysql_error()); } |
Wenn die Funktion richtig ausgeführt wird, dann gibt die Funktion eine 1 (True) zurück. Wenn nicht dann eine Fehlermeldung. Die IF abfrage hilft bei der entwicklung Fehler beim übergeben an MySQL zu finden. Denn die Fehler werden dann ausgegeben. Meistens handelt es sich um Zeichen die MySQL „Durcheinanderbringen“
Auch und gerade wegen dem Schutz gegen Angriffe, oder falsche Zeichen muss man die Anfragen schützen. Das pasiert (zum Teil, andere Sicherheitsmassnahmen sind ebenso wichtig) über
|
1 |
mysql_real_escape_string() |
Hier wird die Variabele die übergeben wird erst auf Zeichen untersucht, die von MySQL als Steuerzeichen interpretiert würden. diese werden dann maskiert. Damit kann z.B. ein Angreifer nicht in das Feld einfach ein ‚ einfügen was MySQL zu einem Fehler veranlassen würde.