ComputerBase Menü
Aktuelles

php probleme mit einem regulären Ausdruck

L

lordg2009

Lt. Commander
Registriert
Apr. 2009
Beiträge
1.549
Hi

Ich habe eine Seite, wo einiges an Text in eine Datenbank gespeichert wird. Ich weiß nicht, wie es dazugekommen ist, aber es ist dazu gekommen, dass Zeichen wie ", aber nicht Umlaute doppelt escaped wurden.

Ein " steht jetzt in der Datenbank als '"'
Das & wurde also nochmals escaped.

Der Browser recodiert dann das erste & und stellt dann ein '"' dar.

Da dachte ich mir, ein regulärer Ausdruck, der & vor einem zweiten escapten Zeichen schon serverseitig recodiert könnte klappen, klappt aber nicht.

Hier mein Ausdruck:
PHP: 
$str = preg_replace('/&(.*?;)/', '&\1', $str);

Was mache ich da falsch?
Ergänzung ()

Habe jetzt den Fehler gefunden:

Habe mir selbst eine Funktion erstellt, die den POST und GET array testet:

PHP: 
// form validation
	function test_input($data)
		{
			$data = trim($data);
			$data = stripslashes($data);
			$data = htmlspecialchars($data);
			return $data;
		}
	// form validation in $_POST schreiben
	function test_post()
		{
			foreach($_POST as $key=>$value)
			{
				$_POST[$key] = test_input("$value");
			}
		}
	// form validation in $_POST schreiben
	function test_get()
		{
			$TGET = array();
			foreach($_GET as $key=>$value)
			{
				$key = test_input("$key");
				$value = test_input("$value");
				$TGET[$key] = $value;
			}
			$_GET = $TGET;
		}

Die Funktionen sollen den escapten Inhalt wieder in den GET bzw. POST array schreiben. Leider habe ich diese Funktionen versehentlich zweimal angewendet, wodurch das & ein zweites Mal escaped wurde.
 
Falscher Ansatz: Die Daten gehören escaped, wenn sie ausgegeben werden. In der DB sind sie immer ohne Formatierung/Codierung vorhanden.
 
das heißt also, von den 3 Testfunktionen nehme ich
htmlspecialchars raus, oder wie?
 
Theoretisch sind alle drei Angaben überflüssig, wenn du die PDO als Verbindungsstück zur DB nutzt. Falls du noch die ganzen mysql_ Funktionen nutzt, sollte aber ein mysql_real_escape_string schon ausreichen. Mit deinen obigen Funktionen verfälschst du den String an sich und nicht die zur DB passenden (, gefährlichen) Sequenzen für Injections.
 
ich benutze noch die mysql funktionen, füge parameter aber immer im statement per $stmt->bind_param(); hinzu.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

D
regulären Ausdruck weiter aufschlüsseln
Antworten
4
Aufrufe
1.058
Die wilde Inge
D
T
SQL [MySQL][Regex] Syntax von regulären Ausdrücken
Antworten
3
Aufrufe
985
Tersus
T
M
Notepad++: Probleme mit regulären Ausdruck und [:upper:]?
Antworten
2
Aufrufe
1.242
Mr. Brooks
M
L
PHP regulären Ausdruck um Lniks automatisch zu erstellen
Antworten
2
Aufrufe
655
lordg2009
L
O
Java Regulären Ausdruck "entschlüsseln"
Antworten
3
Aufrufe
1.237
RoseFlunder
R
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz