anpera.net

Ich missbrauche einfach mal dieses Thema, weil der Titel passt.

Ich habe schon seit einiger Zeit zu (fast) jedem neuen Tag (bei Aufruf der newday.php) folgenden Fehler:

$this->bbcode_second_pass_code('', 'INSERT INTO graeber (name,spruch,status,level,age,titel,dk,sex) VALUES ('Rháelín','','2','15','5','`~Re`]n`~or `Dn`Fii`Dr'`~l d'`]l','','1')

You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near '~l d'`]l','','1')' at line 1 ')

Hab schon gesucht wie ein Weltmeister, aber keinen Ansatz gefunden.
Auch keine leere Zeile an Ende oder Anfang der Dateien.

der fehler ist leicht, schau deinen namen an du hast ein ' im namen, und den query mit ' gemacht, d.h. du musst die eingabe escpaen.. (mysql_real_escape_string) generell würde ich sowas nicht empfehlen in namen oder titel zu machen genau so wie als farbcode oder klammern als farbcode mfg

Ein Mann sagte einst: «Every user input is evil». Beim Schreiben von SQL-Queries und auch anderen Dingen *muss* man sich das *immer* vor Augen halten. Es gibt genug Server, die über SQL-Injections entführt werden. Ganze Datenbanken könnte man so theoretisch löschen! Es gibt genug sichere Ansätze. Eine Idee wäre, den Query immer mit sprintf() zu bauen und die Argumente zu maskieren. Oder man nimmt eine db-Funktion, die das bereits kann (Nennt sich db_query_secure()).
(Und ich frage mich, wie man von einem SQL-Fehler auf eine Leere Zeile schliessen kann.)

PS: Thread-Hijacking ist sehr unhöflich, vor allem, wenn die Ursprungsfrage noch nicht geklärt wurde.

Danke für die Antworten!
Der Fehler ist behoben.