escape frage

[Mars@Gera]

Morschn Leute :)

ich habe eine kleines Escape-Problemschen ...
kann mir jemand sagen, wie ich diesen String entsprechend escapen musst?

INSERT INTO `testtab` (`Loc`, `subj`, `LTwhat`, `LabelNr`, `Label`,  `Phonem`, `xmin`, `xmax`) values  ('ANA','2','LT2','81','@_?\','@_?\','4.19241','4.2253')
You have an  error in your SQL syntax; check the manual that corresponds to your  MySQL server version for the right syntax to use near  '@_?\','4.19241','4.2253')' at line 1

ich schätze mal, es liegt an dieser Stelle '@_?\','@_?\' wäre nett, wenn jemand eine idee hat :)

mfg Marcel

 

[xXxPeterPanxXx]

Du muss die Backslashes escapen. Statt \ schreibst du \\.

INSERT INTO `testtab` (`Loc`, `subj`, `LTwhat`, `LabelNr`, `Label`,  `Phonem`, `xmin`, `xmax`) values  ('ANA','2','LT2','81','@_?\\','@_?\\','4.19241','4.2253')

 

[Mars@Gera]

rüschdüsch ... ich müsste nur wissen, wie ich das dynamisch machen kann ;)

 

[xXxPeterPanxXx]

http://www.php.net/manual/de/mysqli.real-escape-string.phphttp://php.net/manual/de/function.mysql-real-escape-string.php

 

[mermshaus]

Beziehungsweise einen DB-Adapter wie PDO verwenden, der Prepared Statements mit Bindings oder sonstige Mechanismen des automatischen Escapings unterstützt.

- PHP: Prepared statements and stored procedures - Manual

 

[Mars@Gera]

habe es versucht in meine Frunktion einzubauen, jedoch ohne erfolg. Also das "mysql_real_escape_string()"...kann mir vllt noch jemand helfen?
Hier meine Funktion

final public function safeIntoDatabase($time){
        $file = file(UPLOAD_DIR . $time . '.' . ENABLE_UPLOAD_TYPE);
        
        $field = array(LOC, SUBJ, LTWHAT, LABELNR, LABEL, PHONEM, XMIN, XMAX);
        $i = 0;
        $db = new mysql();
        
        foreach($file as $filenum => $con){
            //addslashes($con);
            //$values = explode('    ', $con);
            $values = preg_split('/\s+/',$con);
            
            self::cleanUpArray($values, $counter);
            
            $big_array = array_combine($field, $values);

            $sql = 'INSERT INTO `' . TESTTAB . '` (`'.implode("`, `", array_keys($big_array)).'`) VALUES (\''.implode("','", array_values($big_array)).'\')';
            echo $sql . '<br>';
            $result = $db->insert($sql);
            if($result > 0){
                $i++;
            }
        }
        return $i . ' Datens&auml;tze erfolgreich hochgeladen';
    }
}

mfg Marcel

 

[threadi]

An welcher Stelle in diesem Code hast Du da versucht? Bitte zeig den problematischen Code.

 

[Mars@Gera]

Morschn

$sql = 'INSERT INTO `' . TESTTAB . '` (`'.implode("`, `", array_keys($big_array)).'`) VALUES (\''.implode("','", mysql_real_escape_string(array_values($big_array))).'\')';

mfg Marcel

 

[sysop]

Oder du packst alles in single Quotes.

 

[aJunkie]

Wie wäre es mit der Funktion array_map?

$array = array_map('mysql_real_escape_string', $array);

 

[mermshaus]

Ja, die wäre eine Möglichkeit.

' VALUES (\'' . implode("', '", array_map('mysql_real_escape_string', array_values($big_array))) . '\')'