Post + Anführungszeichen

[JackyD]

Hallo @ all,
ich sende eine SQL Anweisung mit POST zur nächsten Seite. Allerdings werden beim Post die anführungszeichen in der Anweisung escaped. So kann die Anweisung dort nicht wieder verarbeitet werden. Wie kann ich es hinbekommen, dass sie dort nicht escaped werden?
Beim senden:

echo '<input type="hidden" name="sql_send" size="500" value="'.$sql_send.'">';

Wenn ich dann den HTML code anschaue steht es dort so:

<input type="hidden" name="sql_send" size="500" value="select * from test where ID < '10' limit 15">

Danach wird es so empfangen:

 $sql_select = $_POST["sql_select"];
 
 echo '<br>'.$sql_select.'<br>';

Das gibt dann folgendes aus:
select * from test where ID < \'10\' limit 15
und diese Fehlermeldung:
Fehler-Nummer:1064
Fehler-Ausgabe:You have an error in your SQL syntax near '\'10\' limit 15' at line 1
Ich hoffe es kann mir jemand weiterhelfen.

 

[hpvw]

[phpf]stripslashes[/phpf] könnte Dir helfen. Allerdings ist das Versenden einer SQL-Anweisung unglaublich gefährlich. Jeder User könnte seine eigene Anweisung senden und somit volle Kontrolle über Deine Datenbank erlangen.

Gruß hpvw

 

[Gumbo]

… auch wenn das Formular per HTTP-POST-Methode versandt wird. Eine eigene HTTP-POST-Anfrage zusammenzubasteln ist einfacher als du wahrscheinlich vermutest.

 

[JackyD]

Ok, danke. Das ist nur für mich, läuft also auch nur Lokal, da ist die Sicherheit gewährleistet.

 

[hpvw]

Wenn dieses oder (auch ein anderes) Skript auf unterschiedlichen Servern laufen soll, hilft ggf. auch dieser Thread weiter, da nicht jeder Server die Einstellung hat, dass Hochkomma in übergebenen Parametern maskiert werden.

Gruß hpvw