[PHP/MySQL] Query mit IN-Klausel absichern

[Gsus]

Hallo,

ich nutze die MySQL-Query-Funktion zum absichern meiner Querys hier aus dem Snippet-Forum. Mit leichtern Änderungen sieht diese bei mir wie folgt aus:

PHP-Code:

1: 2: 3: 4: 5: 6: 7: 8: 9: 10: 11: 12: 13: 14:

public function query($query) {      $this->_querycount++;      $args = func_get_args();      $vargs = array();      for($i=1; $i<func_num_args(); $i++) {          if(get_magic_quotes_gpc()) $args[$i] = stripslashes($args[$i]);          $vargs[] = mysql_real_escape_string($args[$i]);      }      $query = vsprintf($query, $vargs);      $result = mysql_query($query);      if($error = mysql_error()) $this->errorlog($query, $error);      return $result;      mysql_free_result($result); }

Nun habe ich das Problem, dass ich mit dieser Funktion gerne den IN-Tag in Verbindung mit einem Array-implode verwenden möchte. Dies sieht zur Zeit folgendermaßen aus:

PHP-Code:

1:

$result = $mysql->query("SELECT `project_name`, `db_prefix`, `root_directory` FROM `".$mysql_data['prefix']."_projects` WHERE `project_name` IN ('%s')", implode($_POST['projects'], "', '"));

Das Problem ist nun, dass die Funktion mir alle vom implode erzeugten ' escaped zu \', wodurch der Query nicht dem entspricht, was ich eigentlich haben möchte. Das Array muss aber abgesichert sein, da ich nicht kontrollieren kann, was da für Daten gesendet werden.

Leider fällt mir gerade nicht ein, wie ich dieses Problem lösen kann, aber vielleicht habt ihr ja eine gute Idee?!

Vielen Dank im Vorraus.
Gsus

[theHacker]

Du musst den Teil

Code:

1:
'...','...','...'

vorher von Hand zusammenbauen:
Schleife + sprintf() + mysql_real_escape_string()

[tleilax]

Zitat:

Zitat von theHacker

Schleife + sprintf() + mysql_real_escape_string()

Eine weitere Schleife braucht's da eigentlich nicht:

PHP-Code:

1: 2: 3: 4: 5: 6: 7: 8: 9: 10: 11: 12: 13: 14: 15:

//... for($i=1; $i<func_num_args(); $i++) {     if (is_array($args[$i)) {         if(get_magic_quotes_gpc()) {             $args[$i] = array_map('stripslashes', $args[$i]);         }         $vargs[] = implode("','", array_map('mysql_real_escape_string', $args[$i]));     } else {         if(get_magic_quotes_gpc()) {             $args[$i] = stripslashes($args[$i]);         }         $vargs[] = mysql_real_escape_string($args[$i]);     } } //...

[Gsus]

Danke, die Lösung von tleilax funktioniert super! Die Funktion array_map() kannte ich vorher auch noch nicht, scheint aber sehr nützlich zu sein! Man lernt eben nie aus

Vielen Dank

mfg
Gsus

[Darklord]

Ich halte von der obigen Funktion nichts, weil man hier versucht mit dem Golden hammer alle Anwendungsfälle zu erschlagen.
So reicht es doch aus einen Integer auf dessen Inhalt zu überprüfen oder ggf. auf Integer zu casten.

Anmerkung: Zeile 13 wird niemals ausgeführt.

[ice-breaker]

und vergisst du es einmal an einer Stelle hast du gleich eine SQL-Injection...
Verwendest du jedoch konsequent die Funktion ist es nicht schlimm, dass du einmal die Prüfung vergessen hast.

[Gsus]

Zitat:

Zitat von Darklord

Anmerkung: Zeile 13 wird niemals ausgeführt.

Ja, darüber habe ich mir auch bereits Gedanken gemacht, ob das einen Sinn hat oder nicht... Wenn ich diese Funktion allerdings vorher aufrufe, habe ich nichts mehr zu returnen Gibt es hierzu vielleicht auch noch Anregungen?

Ich benutze die Funktion um gegen SQL-Injections gewappnet zu sein ja.

[chrissel]

Zitat:

Zitat von Gsus

Wenn ich diese Funktion allerdings vorher aufrufe, habe ich nichts mehr zu returnen Gibt es hierzu vielleicht auch noch Anregungen?

Ich würde sagen, es ist nicht Aufgabe der query-Funktion den Speicher freizugeben. Sonst hätte man es doch standardmäßig schon bei mysql_query eingebaut, oder?

[Gsus]

Zitat:

Zitat von chrissel

Ich würde sagen, es ist nicht Aufgabe der query-Funktion den Speicher freizugeben. Sonst hätte man es doch standardmäßig schon bei mysql_query eingebaut, oder?

Da ist was wahres dran ja
aber es ist doch schon richtig, dass es ein besserer Codingstil ist, den belegten Speicher auch wieder freizugeben, wenn man ihn nicht mehr benötigt, oder? Also gibt es dafür keine andere möglichkeit, als die funktion jedesmal nach einer Query aufzurufen? Ich dachte, dass es da vielleicht etwas eleganter geht

mfg
Gsus

[chrissel]

Zitat:

Zitat von Gsus

Da ist was wahres dran ja
aber es ist doch schon richtig, dass es ein besserer Codingstil ist, den belegten Speicher auch wieder freizugeben, wenn man ihn nicht mehr benötigt, oder? Also gibt es dafür keine andere möglichkeit, als die funktion jedesmal nach einer Query aufzurufen? Ich dachte, dass es da vielleicht etwas eleganter geht

Naja, also du willst ja anschließend mit dem ResultSet weiterarbeiten (also der Rückgabe von mysql_query()), somit solltest du den Speicher auch erst wieder freigeben, wenn du fertig bist mit dem weiterarbeiten.
D.h. wenn du wirklich nirgendwo mehr mit der direkten Rückgabe deiner Funktion query() arbeitest.

Ich weiß gerade auch nicht wie die Speicherverwaltung bei PHP in Verbindung mit MySQL geregelt ist und ob mysql_free_result() überhaupt noch viel bringt, oder das eh automatisch gemacht wird... ich sage mal klein: Du kannst es vernachlässigen...
Da könnte vielleicht eher ice-breaker was zu sagen? Oder hat da sonst noch wer Ahnung von?

[tleilax]

Zitat:

Zitat von chrissel

Ich weiß gerade auch nicht wie die Speicherverwaltung bei PHP in Verbindung mit MySQL geregelt ist und ob mysql_free_result() überhaupt noch viel bringt, oder das eh automatisch gemacht wird... ich sage mal klein: Du kannst es vernachlässigen...

So ist es auch. PHP gibt in aller Regel alle belegten Ressourcen am Skriptende automatisch frei. Würde ich demzufolge bei PHP eher als Mikrooptimierung ansehen, die man erst angehen sollte, wenn man in Speicherprobleme läuft.

Aber letztendlich ist es jedem selbst überlassen, wie er das angeht. Wer nicht überwiegend PHP spricht, wird sich vermutlich wohler fühlen, wenn er die Ressource explizit freigibt.