Mit fwrite SQL Daten in HTML schreiben

[basti1012]

Sorry für die späte Antwort, du hast das richtig verstanden, beim injection anfälligen Code gibt print_r die passende Position Nummer aus, die übermittelt wurde. Beim zweiten Beispiel bleibt print_r leer, zeigt nichts an bzw. gibt nichts aus. Mir ist das ganze auch ein Rätsel.

An anderen stellen arbeite ich im gleichen Projekt ja anstandlos mit real_escape_string und es funktioniert, nur bei dieser Funktion nicht.

Wenn das Online wäre könnte man vielleicht noch paar Sachen testen, doch so kann ich jetzt auch nichts finden.

Ich habe aber noch eine Theorie.
Hier erstellst du doch ein Array was du zum PHP Script schickst

$(".row_position").sortable({
            delay: 150,
            stop: function() {
                var selectedData = new Array();
                $('.row_position>tr').each(function() {
                    selectedData.push($(this).attr("id"));
                });
                updateOrder(selectedData);
            }
        });

Im PHP Script ballerst du ein Array in real_escape_string

    $position = $mysqli->real_escape_string($_POST['position']);

Ich bin kein PHP Profi aber , mysqli_real_escape_string , wird meiner Meinung nach SO nicht mit arrays funktionieren.

Vieleicht klappt das ?

function test($val){
    return mysqli_real_escape_string($val);
}

$position = array_walk($_POST['position'], 'test');

Psydo Code,Goggle bitte selber noch mal wegen richtigkeit