---

Jeg har MEGET svært ved at forstå Addslashes. Er der noget med at man ikke
behøver at bruge dem mere og kan gøre noget andet? Jeg har problemer med at
finde ud af, hvornår jeg skal skrive dette, så det ville være dejligt med at
kunne undevære det eller kan man bruge det alle steder for at være på den
sikre side?

--
KH
Tine Müller

homepage: http://tine_muller.homepage.dk/

---

Tine Müller wrote:
> Jeg har MEGET svært ved at forstå Addslashes. Er der noget med at man ikke
> behøver at bruge dem mere og kan gøre noget andet? Jeg har problemer med at
> finde ud af, hvornår jeg skal skrive dette, så det ville være dejligt med at
> kunne undevære det eller kan man bruge det alle steder for at være på den
> sikre side?

Well - det afhænger af mange ting... blandt andet php's opsætning med
magic quotes...

Generelt skal du bruge addslashes når du smider ting ind i en SQL (reelt
vil mysql_real_escape_string() være at foretrække) - ***hvis*** magic
quotes er sat til OFF.

Men pga. magic_quotes problematikken kan det være svært at portere kode
mellem servere - derfor er det en fordel at f.eks. lave sin egen
funktion der escaper strenge... f.eks.


function escapeMyString($s) {
if(get_magic_quotes_gpc()) { return $s; }
return addslashes($s);
}

Håber det hjalp dig lidt videre :)

Mvh
Johan

---

"Johan Holst Nielsen" skrev
> Well - det afhænger af mange ting... blandt andet php's opsætning med
> magic quotes...
>
> Generelt skal du bruge addslashes når du smider ting ind i en SQL (reelt
> vil mysql_real_escape_string() være at foretrække) - ***hvis*** magic
> quotes er sat til OFF.
>
> Men pga. magic_quotes problematikken kan det være svært at portere kode
> mellem servere - derfor er det en fordel at f.eks. lave sin egen funktion
> der escaper strenge... f.eks.
>
>
> function escapeMyString($s) {
> if(get_magic_quotes_gpc()) { return $s; }
> return addslashes($s);
> }
>
> Håber det hjalp dig lidt videre :)

Mange tak for svaret, men jeg ved stadigvæk ikke helt nøjagtigt, hvor jeg
skal indsætte dine koder? Og skal jeg så fjerne addslashes i filen? Hvordan
finder jeg ud af - ***hvis*** magic quotes er sat til OFF på mit domæne?

Jeg har uploaded filerne som det drejer sig om hertil
http://www.tinemuller.dk/googlemap/gaia/index.php.txt og
http://www.tinemuller.dk/googlemap/gaia/gaia.sql.txt

Jeg har brug for at vide det, fordi jeg gerne vil tilføje flere felter til
min database, såsom hjemmeside, e-mailadresser osv. osv. så derfor er det
vigtigt, at jeg forstår, hvornår jeg skal bruge addslashes.

/Tine

---

"Tine Müller" skrev
> Jeg har MEGET svært ved at forstå Addslashes. Er der noget med at man ikke
> behøver at bruge dem mere og kan gøre noget andet? Jeg har problemer med
> at finde ud af, hvornår jeg skal skrive dette, så det ville være dejligt
> med at kunne undevære det eller kan man bruge det alle steder for at være
> på den sikre side?

Jeg har fundet ud af at det kan gøres nemmere, nemlig på denne måde:

<?php

// Connect to the database
require($_SERVER['DOCUMENT_ROOT'] . '/db_credentials.php');
$conn = mysql_connect($db_server, $db_user, $db_pass);
mysql_select_db($db_name, $conn);

// Query for the Multi-Table Select
$query = "SELECT * FROM markers WHERE 1";

$result = mysql_query($query, $conn);

?>

var markers = [
<?php while($row = mysql_fetch_assoc($result)): ?>
{
'lat': <?= $row['lat'] ?>,
'lng': <?= $row['lng'] ?>,
'markerType': '<?= $row['type'] ?>',

<? $info_html='<b>'.$row['name'].'</b><br />'.$row['address']; ?>

'info': '<?= addslashes($info_html) ?>'

},

<?
endwhile; ?>
];

/Tine

---

Tine Müller skrev:
> "Tine Müller" skrev
>> Jeg har MEGET svært ved at forstå Addslashes. Er der noget med at man ikke
>> behøver at bruge dem mere og kan gøre noget andet? Jeg har problemer med
>> at finde ud af, hvornår jeg skal skrive dette, så det ville være dejligt
>> med at kunne undevære det eller kan man bruge det alle steder for at være
>> på den sikre side?
>
> Jeg har fundet ud af at det kan gøres nemmere, nemlig på denne måde:
>
> <?php
>
> // Connect to the database
> require($_SERVER['DOCUMENT_ROOT'] . '/db_credentials.php');
> $conn = mysql_connect($db_server, $db_user, $db_pass);
> mysql_select_db($db_name, $conn);
>
> // Query for the Multi-Table Select
> $query = "SELECT * FROM markers WHERE 1";
>
> $result = mysql_query($query, $conn);
>
> ?>
>
> var markers = [
> <?php while($row = mysql_fetch_assoc($result)): ?>
> {
> 'lat': <?= $row['lat'] ?>,
> 'lng': <?= $row['lng'] ?>,
> 'markerType': '<?= $row['type'] ?>',
>
> <? $info_html='<b>'.$row['name'].'</b><br />'.$row['address']; ?>
>
> 'info': '<?= addslashes($info_html) ?>'
>
> },
>
> <?
> endwhile; ?>
> ];

Det er fuldstændig sort snak for mig. Nu dukker der pludselig Javascript
op og du skriver en kommentar om at hente data fra flere tabeller,
selvom der kun er én. Ummidelbart ligner det cut'n'paste-kode af værste
skuffe - hvor har du det fra?

Mvh. Michael.
--
Which is more dangerous? TV guided missiles or TV guided families?
I am less likely to answer usenet postings by anonymous authors.
Visit my home page at http://michael.zedeler.dk/

---

"Michael Zedeler" skrev
> Det er fuldstændig sort snak for mig. Nu dukker der pludselig Javascript
> op og du skriver en kommentar om at hente data fra flere tabeller, selvom
> der kun er én. Ummidelbart ligner det cut'n'paste-kode af værste skuffe -
> hvor har du det fra?

Jeg har det fra denne side som jeg langt om længe har fået til at fungere
http://www.tinemuller.dk/googlemap/tutorial/newmike/ og jeg blev bare så
glad for tippet om at bruge denne kode:

<? $info_html='<b>'.$row['name'].'</b><br />'.$row['address']; ?>

'info': '<?= addslashes($info_html) ?>'

istedet for at skulle skrive addslashes FORAN flere af $row funktionerne,
især hvis man nu skulle få lyst til at vise flere informationer fra
databasen.

Og ja undskyld, hvis jeg blander det lidt sammen, men det var kun af
venlighed for andre, som evt. kunne bruge dette tip.

OG vedr. denne kodekommentar:
// Query for the Multi-Table Select

så har du fuldstændig ret, det er kopieret fra et eksempel hvor der blev
hentet informationer fra flere tabeller. Undskyld.

/Tine

---

Tine Müller skrev:
> "Michael Zedeler" skrev
>> Det er fuldstændig sort snak for mig. Nu dukker der pludselig Javascript
>> op og du skriver en kommentar om at hente data fra flere tabeller, selvom
>> der kun er én. Ummidelbart ligner det cut'n'paste-kode af værste skuffe -
>> hvor har du det fra?
>
> Jeg har det fra denne side som jeg langt om længe har fået til at fungere
> http://www.tinemuller.dk/googlemap/tutorial/newmike/ og jeg blev bare så
> glad for tippet om at bruge denne kode:
>
> <? $info_html='<b>'.$row['name'].'</b><br />'.$row['address']; ?>
>
> 'info': '<?= addslashes($info_html) ?>'
>
> istedet for at skulle skrive addslashes FORAN flere af $row funktionerne,
> især hvis man nu skulle få lyst til at vise flere informationer fra
> databasen.

Men... du bruger data som er blevet kørt igennem addslashes som del af
den side, der bliver vist. Hvorfor er det nødvendigt?

> Og ja undskyld, hvis jeg blander det lidt sammen, men det var kun af
> venlighed for andre, som evt. kunne bruge dette tip.

Ja. Det synes jeg lyder som en strålende idé, men jeg kan ikke rigtig
forstå hvad pointen er...?

Mvh. Michael.
--
Which is more dangerous? TV guided missiles or TV guided families?
I am less likely to answer usenet postings by anonymous authors.
Visit my home page at http://michael.zedeler.dk/