mysql_real_escape_string in Contao

[barteljan]

Moin alle zusammen,

Hat einer von euch eine Ahnung wie man mysql_real_escape_string in Contao benutzt ?

Ich würde gerne eine Variable escapen, komme aber nicht an die Datenbank-Connection ran, da diese in der Klasse \Contao\Database gekapselt ist.

In der Klasse \Contao\Mysql\Statement gibt es sogar eine Methode string_escape die genau das tut was ich will, leider ist sie aber protected ....

Aktuell behelfe ich mir damit, extra vor dem mysql_real_escape_string, über mysql_connect eine neue Verbindung zu öffnen ....

Aber das ist natürlich auch keine besonders saubere Lösung .

Vielleicht wisst ihr ja was besseres .....

Danke schonmal für Eure Hilfe,

Jan

[Wusch]

Schau mal unter http://de.contaowiki.org/Datenbank_Klasse_verwenden.

[barteljan]

Danke für die schnelle Antwort :-).

Hilft mir leider nicht, aber das liegt daran, das ich meine Frage nicht vernünftig spezifiziert habe.

Ich nutze das mysql_real_escape_string für einen Insert-Tag in der MetaModels-Erweiterung.
Dort kann man SQL spezifizieren das Insert-Tags annimmt.

Deswegen kann ich prepare und execute nicht verwenden ....

Ich will die resultierende Abfrage nämlich nicht ausführen sondern nur sicherstellen, das in die Abfrage, die später von MetaModels ausgeführt wird, über einen get-Parameter (Meinen Insert-Tag) kein SQL injected werden kann.

Ansonsten wäre das natürlich der richtige Weg.

[barteljan]

Ok habe für mich persönlich nun folgende Lösung gefunden.

Ich habe eine neue Erweiterung geschrieben in der ich Contao zwei neue Datenbanktreiber hinzufüge.

Die zugehörigen Klassen erben von den beiden aktuellen Treibern und stellen eine Methode string_escape zur Verfügung die dann an die Datenbank-Verbindung kommt und den Escape durchführt.

Damit das Ganze funktioniert muss in der localconfig.php als Treiber:

Code:

$GLOBALS['TL_CONFIG']['dbDriver'] = 'ExtendedMysql';

bzw.:

Code:

$GLOBALS['TL_CONFIG']['dbDriver'] = 'ExtendedMysqli';

angegeben werden.

Danach besitzt das Datenbank-Objekt die Methode string_escape die dann ein neues Erzeugen der Verbindung vermeidet.

So ist das schon mal ein bisschen sauberer ...

Für bessere Lösungen wäre ich aber überaus dankbar .

P.S. Den SourceCode des Moduls findet Ihr im Anhang.

[xtra]

Danke für die schnelle Antwort :-).

Hilft mir leider nicht, aber das liegt daran, das ich meine Frage nicht vernünftig spezifiziert habe.

Ich nutze das mysql_real_escape_string für einen Insert-Tag in der MetaModels-Erweiterung.
Dort kann man SQL spezifizieren das Insert-Tags annimmt.

Deswegen kann ich prepare und execute nicht verwenden ....

Ich will die resultierende Abfrage nämlich nicht ausführen sondern nur sicherstellen, das in die Abfrage, die später von MetaModels ausgeführt wird, über einen get-Parameter (Meinen Insert-Tag) kein SQL injected werden kann.

Ansonsten wäre das natürlich der richtige Weg.

Kannst du dazu bitte eben mal einen Beispielcode posten WAS du machen willst?

Ich kann mir aktuell keine Stelle im MM Code vorstellen, wo du ein deratiges Problem haben koenntest.

[barteljan]

Ich habe zwei Metamodels die ich im Frontend verlinken möchte.

Projekte und Tasks

Die Tasks sind den Projekten im Backend untergeordnet und werden über die pid verknüpft.

Ich zeige eine Liste aller Projekte an und verweise über einen Projekt-Filter (der den Alias des Projekts als auto_item übergibt) auf eine andere Seite.

Auf dieser Seite gebe ich eine Liste aller Tasks des ausgewählten Projektes mit folgendem "SQL-Filter" aus:

SELECT id FROM {{table}} WHERE pid=(SELECT id FROM mm_jba_project WHERE alias="{{get::auto_item::mysql_real_escape_string} }");

Zu sehen unter: http://issues.janbartel.de per PN gibts auch Zugangsdaten

[xtra]

Was sprichte gegen MetaModels Bordmittel, welche das escaping usw. direkt abnehmen?

Code:

SELECT id FROM {{table}} WHERE pid=(SELECT id FROM mm_jba_project WHERE alias="{{param::get?name=auto_item}}");

Das alles und noch mehr ist btw. in der Doku des SQL Filter erlaeutert (das kleine Schildchen neben der Headline des Text-Eingabebereichs wo du deinen SQL code reinpappst).

Gruss
Chris

[barteljan]

In erster Linie wohl das fehlende Wissen das MetaModels sowas kann .

Vielen Dank .

P.S. Das kleine Icon hab ich wohl übersehen :-P.

[xtra]

Macht ja nichts, kann man durchaus ybersehen. Doch in solchen Teilen stecken oft wertvolle Infos.

Hauptsache es klappt nun.

Gruss
Chris