[PHP & MySQL] Daten von Textfeld in DB speicher
 

Hi,

ich habe ein Gästebuchformular erstellt und möchte die Daten in einer Datenbank speichern. Das funktioniert auch soweit, doch wenn ich in dem Textfeld (textarea) den Text "Das ist ein Test" speichern möchte, kommt "Das+ist+ein+Test" heraus. Ich verwende zwecks SQL Injection die Funktion mysql_real_escape_string.
Wie kann ich den Text "normal" abspeichern ohne dass ich die +-Zeichen beim Ausgeben durch " " ersetzen muss? Gibt es da keine "Rückwärtsfunktion"?

Re: [PHP & MySQL] Daten von Textfeld in DB speicher
 

Du verwendest GET?

Wahrscheinlich suchst du urldecode() siehe auch Wikipedia

Je nach Einstellung kann vor dem mysql_real_escape() noch ein stripslashes() hilfreich sein ;)

Edits: Hervorgehoben/Rechtschreibung :)

Re: [PHP & MySQL] Daten von Textfeld in DB speicher
 

Du solltest sowas immer per POST machen!
Siehe: http://de.wikipedia.org/wiki/XSRF
Edit:// Ok, also die Sache mit dem POST steht zurecht unter "Unzulängliche Abwehrmaßnahmen". Da ich aber denke, dass du kein Shared-Secret System eingebaut hast und das auch vorerst nicht vor hast, würde ich trotzdem zu Post raten. Es gibt auch noch andere Gründe, z.B. die Begrenzung der URL-Länge oder dass GET-Daten in den Server-Logs stehen, wo sie nichts zu suchen haben usw...

Ansonsten: $_POST['key'] und $_GET['key'] geben alle die Daten bereits dekodiert
zurück. Wie machst du das?

Und wegen mysql_real_esacpe_string: Informiere dich mal über Magic Quotes und stripslashes. Die meisten Server wenden vorher bereits eine ähnliche Funktion auf alle Elemente im $_POST-, $_GET- usw. -Array an. Dann muss man Magic Quotes entweder ausschalten (bessere Idee) oder vorher nochmal mit stripslashes drüber gehen. (schlechtere Idee)

Mit freundlichen Grüßen,

Valle

Re: [PHP & MySQL] Daten von Textfeld in DB speicher
 

Ich mache das über Post.

Jetzt werden die Plus-Zeichen lediglich in %2B umgewandelt.

Inwiefern muss da noch ein stripslashes() rein? Reicht mysql_real_escape() nicht aus?

Re: [PHP & MySQL] Daten von Textfeld in DB speicher
 

Wie kommst du an die Daten von POST? Einfach per $_POST? Ich glaube, dass wir da einige Zeilen Code brauchen. Das Problem muss wohl woanders liegen. Normal wendet man keine weiteren Funktionen auf diese Daten an, damit diese unkodiert bei dir ankommen.

Schau dir mal meinen Post an, ich habe das noch etwas genauer beschrieben. Stichwort dabei ist eben "Magic Quotes". Ich denke dazu müsste einiges zu finden sein, auch auf Wikipedia. Ich denke aber auch, dass dies ein anderes Problem ist und mit den +-Zeichen nichts zu tun hat.

Mit freundlichen Grüßen,

Valle

Re: [PHP & MySQL] Daten von Textfeld in DB speicher
 

Ah, jetzt funktionierts...hatte noch ein urlencode drin, was die Plus-Zeichen reingemacht hat :-)
Okay, danke für die Begriffe, ich les mich da gleich mal in Wiki ein ;-)

Danke für die Hilfe!