HTML Code in Datenbank speichern, aber wie?

Garlandt · #1 (**permalink**) 02.05.2011, 14:30

Keine ungewöhnliche Frage.

Was muss beim speichern von HTML-Code in einer Datenbank beachtet werden? Wie muss der Code beim speichern und laden umgewandelt werden?

Bisher habe ich htmlentities() und html_entity_decode() verwendet aber mir wurde gesagt das dies nicht empfehlenswert ist. Stattdessen wurde mir mysql_real_escape_string empfohlen. Allerdings kenne ich diese Funktion nicht und nach dem was ich gelesen habe fügt sie nur zu bestimmten sonderzeichen / hinzu um diese zu escapen. Muss der daraus resultierende String noch weiter behandelt werden um in eine Datenbank geschrieben zu werden oder reicht das schon?

Gruß

Garlandt

David · #2 (**permalink**) 02.05.2011, 14:43

Warum hast Du denn htmlentitys() verwendet?
Beim Schreiben in Datenbanken sollten die Metazeichen von SQL entsprechend behandelt werden. Die von HTML sind da (sofern sie sich nicht überschneiden) völlig belanglos. Genau das macht mysql_real_escape_string(): sicherstellen, dass dein Datenwert nicht dein Query zerstört, was auch sicherheitsrelevant ist. Beim Lesen werden die Werte ganz normal ausgegeben, so wie sie vor der Maskierung ausgesehen haben.

Garlandt · #3 (**permalink**) 02.05.2011, 15:17

Nachdem ich den HTML-String mit mysql_real_escape_string() umgewandelt habe hatten alle MySQL Metazeichen ein \, wie erwartet. Beim Auslesen musste ich diese allerdings via stripslashes() entfernen, da der code sonst nicht als HTML interpretiert wurde.

Ist das so richtig oder nicht? Im vorherigen Post steht nichts davon, dass stripslashes() beim Auslesen notwendig ist.

Gruß

Garlandt

David · #4 (**permalink**) 03.05.2011, 16:47

Das Verhalten kann ich so nicht nachvollziehen. Wenn ich einen String mit Metazeichen eintragen will, dann Maskiere ich diese mit der entsprechenden Funktion. Der Wert in dem Feld ist dann der String, ohne die Maskierten Backslashes.
Gerade eben getestet:

PHP-Code:


			
header('Content-type:text/plain;charset=utf-8');

$db_soc = mysql_connect('localhost', 'test', 'wüsstet_ihr_gern');
$db = mysql_select_db('test');

$string = "Das ist ein wirklich 'cooler' Text!";

$insert = "INSERT INTO test (name) VALUES  ('" . mysql_real_escape_string( $test , $db_soc) . "') ON DUPLICATE KEY UPDATE name = '" . mysql_real_escape_string( $string , $db_soc) ."'" ;

$result = mysql_query( $insert, $db_soc );

$select = "SELECT test.name FROM test WHERE test.id = '3'";

$result = mysql_query( $select, $db_soc );
var_dump ( mysql_fetch_array( $result ) );

Ergibt:

Code:

Das ist ein wirklich 'cooler' Text!

Ich vermute, dass es eine Einstellung gibt, die Srings maskiert aus einer SELECT-Abfrage zurück gibt...

Garlandt · #5 (**permalink**) 03.05.2011, 17:13

Möglich. Ich wüsste sonst nicht warum ein String mit maskierten Sonderzeichen beim Auslesen aus der Datenbank in irgend einer Art verändert werden sollte, wenn es so nicht explizit vorgesehen ist.

Gruß

Garlandt

fox · #6 (**permalink**) 03.05.2011, 17:41

Prüfe doch mal auf Magic-Quotes:

PHP: get_magic_quotes_gpc - Manual
PHP: get_magic_quotes_runtime - Manual

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Frage zum HTML Code	Werner.W	(X)HTML	5	18.01.2010 08:57
Safari "druckt" HTML code im browser	diver	(X)HTML	3	30.12.2009 23:45
Browser (FF & Co.) - HTML Speichern als JPG ?!	darki777	Offtopic	10	27.07.2007 12:33
HTML in einer Datenbank per PHP bearbeiten	trequ	Serveradministration und serverseitige Scripte	3	17.07.2007 10:43
DOM und (XML mit HTML CODE) verarbeiten WIE?	silence_le	Serveradministration und serverseitige Scripte	4	18.06.2007 17:33