phpBB.de

Da du in deinem SQL-Spruch keine einfachen Anführungszeichen ( ' ) drin hast, tauchen die logischerweise auch nicht im Endergebnis auf. Die Variante ohne Anführungszeichen (also "... WHERE user_id = 0 ...") darf aus genau diesem Grund nur bei Zahlen verwendet werden.
verstehe leider nicht, was du ...

mal noch ein problem zu dem thema:
hier http://phpbb3.pytalhost.com/viewtopic.php?f=23&t=241 wird die SQL Injection angesprochen.
wenn ich nun
0 UNION SELECT user_email as username FROM phpbb_users WHERE user_id = 2
in mein textfeld eingebe und es ans script schicke, macht er meiner meinung nach ...

ich habe folgendes problem:
wenn ich $plz = request_var('plz', 0); nutze, wird bei 01234 die null "verschluckt". ergebniss ist dann 1234 als PLZ. :evil:
wenn ich $plz = request_var('plz', ' ' ); nutze, wird die PLZ zwar richtig übertragen, jedoch kann man dann auch buchstaben usw. dort eingeben ...

$sql = 'SELECT *
FROM ' . TABLE . '
WHERE wert1 = ' . $wert1 . ' AND wert2 LIKE "' . $wert2 . '%"' ;
$result = $db->sql_query($sql);
$row = $db->sql_fetchrow($result);
$db->sql_freeresult($result);

Bin gerade mobil untergwegs... Daher nur ein Schuss ins Blaue... ich habe ein paar " um den ...

Moin,

schon mal den Joker fest eingebaut?

$sql = 'SELECT *
FROM ' . TABLE . '
WHERE wert1 = ' . $wert1 . ' AND wert2 LIKE ' . $wert2 . '%' ;
$result = $db->sql_query($sql);
$row = $db->sql_fetchrow($result);
$db->sql_freeresult($result);
wenn ich es so schreibe, bekomme ich als "antwort ...

und wie sieht die datenbankabfrage dazu aus?
Die Frage geb ich zurück. Wie sieht denn Dein bisheriger Code aus?
Wo ist der bisherige Code eingefügt? Oder, in welcher Datei included, etc.?
Weil, ohne Basiscode, den Du selbst erstellt hast, kann Dir hier niemand helfen.
Soll heissen, keiner wird Dir ...

und wie sieht die datenbankabfrage dazu aus?
will es ja für was anderes nutzen (zahlen und zahlen bereiche, z.b. statt 123-01, 123-02 soll man gleich nach 123-% suchen können), nicht um nach zeichen in beiträgen zu suchen.
hoffe, es versteht jemand, was ich meine

ist es denn überhaupt möglich, in PHPBB LIKE mit dem platzhalter % zu nutzen?
brauche das z.b. um den usern zu ermöglich, auch nach teilen in einem wort zu suchen.
beispiel: frühaufsteher wird nicht gefunden, wenn man nach dem wort früh sucht.
vielen dank schon mal für eure hilfe

mal ein kleiner push....

Nobody-66 hat geschrieben:...
auch hätte ich gerne, das die maximale zeichenanzahl überprüft wird und wenn es zu viele sind, eine fehlermeldung gibt (so wie bei den foren-beiträgen). die fehlermeldung bekomme ich selbst hin, nur weiss ich nicht, wie man es prüft

reicht echt schon das sql_escape? den in der posting.php sind doch noch eine ganze menge mehr prüfungen, oder täusche ich mich da und die sind für was anderes?

ich habe als vorlage diesen teil vom MOD Simple Profile Comments (1.6.1) genommen gehabt:
// check if the comment is blank, if so trigger ...