DB Abfrage ohne Escapen?

[Swiper]

Ich habe wieder ein für mich bisher unlösbares Problem.

PHP-Code:

$dsatz = $this->Database->prepare("SELECT pid, alias, headline, stichzeile, teaser, singleSRC, alt FROM tl_news WHERE `date` > UNIX_TIMESTAMP(DATE_ADD(CURDATE(),INTERVAL -180 DAY)) AND keywort != '' AND `id` != '".$this->id."' AND `published` = '1' ? ORDER BY `date` DESC LIMIT 6")->execute($sql2); 


die $sql2 sieht in etwas so aus

PHP-Code:

AND (KEYWORT like '%Corporate%' OR KEYWORT like '%Fix%' OR KEYWORT like '%Fox%') 


diese wird Dynamisch generiert!

Grundsäzlich funktioniert diese Konstruct. Jedoch wird der $sql2 String am Anfang/Ende Escaped. Somit funktioniert meine Abfrage nicht mehr.

Baue ich das ganze nicht in einem Database->prepare sondern in einem Database->execute bekomme ich zum Teil einen Error, weshalb ich es jetzt mit der "prepare" Methode versuchen möchte.

Kann mir jemand sagen wie ich das Escapen verhindern kann.

[cliffparnitzky]

Moin,

das "escapen" sollte man nicht verhindern ... das ist da drin und das ist auch gut so.

Das prüft den Datentyp der Übergabeparameter und sorgt dann dafür, dass der richtig in die Query eingebaut wird. Damit vermeidet man z.B. "sql injection".

Also, nicht die Sicherheit rausbauen ... sondern deine Query umbauen.

Du kannst dir ja auch nen String dynamisch zusammenbauen und den dann in die prepare-Methode übergeben.

Gruß, Cliff

[Swiper]

Ich möchte das Escapten ja nur in diesem einen Fall auslassen.

Aber dann hier der gesamte Code:

PHP-Code:

    $teil = explode(",",$this->keywort);
    $teilcount = count($teil)-1;
        foreach ($teil as $key => $wert) {
            if ($key == 0)            { $sql2  = "AND (KEYWORT like '%".trim($wert)."%'";}
            if ($key >= 1)            { $sql2 .= " OR KEYWORT like '%".trim($wert)."%'";}
            if ($key == $teilcount)    { $sql2 .= ") ";}
} 


PHP-Code:

$dsatz = $this->Database->prepare("SELECT pid, alias, headline, stichzeile, teaser, singleSRC, alt FROM tl_news WHERE `date` > UNIX_TIMESTAMP(DATE_ADD(CURDATE(),INTERVAL -180 DAY)) AND keywort != '' AND `id` != '".$this->id."' AND `published` = '1' ? ORDER BY `date` DESC LIMIT 6")->execute($sql2); 


Baue ich $sql2 anstelle des ? sofort ein, bekomme ich meist einen Contao-Error. (Nicht immer)

Mir fehlt jedoch zur Zeit die Phantasie wie ich es anders aufbauen könnte.

[cliffparnitzky]

Hmm, den Error wirst du dann wohl bekommen, weil die Query manchmal nicht korrekt zusammengesetzt ist.

Also, meine Empfehlung: nimm dir die halbe Stunde Zeit für die richtige Query !!!

Gruß, Cliff

[Swiper]

Den Query lasse ich mir immer separat ausgeben. Der stimmt (scheinbar/leider) immer.
Ich kann es mir nur so erklären das Contao da irgendwie was fitert oder verlangt.

Ich bin jetzt wirklich schon Stunden am probieren. Wie gesagt als Execute bekomme ich in seltenen Fällen eine Error-Meldung mir Prepare bekomme ich nie eine Fehlermeldung aber die (' ') stören.

Code:

Fatal error: Uncaught exception Exception with message Too few arguments to build the query string thrown in /var/www/system/libraries/Database.php on line 717

[Wusch]

PHP-Code:

$this->Database->query() 


sollte die Abfrage direkt an die DB senden.

[Spooky]

Ich möchte das Escapten ja nur in diesem einen Fall auslassen.

Aber dann hier der gesamte Code:

PHP-Code:

    $teil = explode(",",$this->keywort);
    $teilcount = count($teil)-1;
        foreach ($teil as $key => $wert) {
            if ($key == 0)            { $sql2  = "AND (KEYWORT like '%".trim($wert)."%'";}
            if ($key >= 1)            { $sql2 .= " OR KEYWORT like '%".trim($wert)."%'";}
            if ($key == $teilcount)    { $sql2 .= ") ";}
} 


PHP-Code:

$dsatz = $this->Database->prepare("SELECT pid, alias, headline, stichzeile, teaser, singleSRC, alt FROM tl_news WHERE `date` > UNIX_TIMESTAMP(DATE_ADD(CURDATE(),INTERVAL -180 DAY)) AND keywort != '' AND `id` != '".$this->id."' AND `published` = '1' ? ORDER BY `date` DESC LIMIT 6")->execute($sql2); 


Baue ich $sql2 anstelle des ? sofort ein, bekomme ich meist einen Contao-Error. (Nicht immer)

Mir fehlt jedoch zur Zeit die Phantasie wie ich es anders aufbauen könnte.

Uff, also das macht ja alles gar keinen Sinn . Ohne zu hinterfragen, was dein Code eigentlich macht und ob das nicht alles sinnvoller geht, hier die "richtige" Variante:

PHP-Code:

// build query string
$query = "SELECT pid, alias, headline, stichzeile, teaser, singleSRC, alt 
          FROM tl_news 
          WHERE `date` > UNIX_TIMESTAMP(DATE_ADD(CURDATE(),INTERVAL -180 DAY)) 
            AND keywort != '' 
            AND `id` != ? 
            AND `published` = '1'";

// prepare parameters and add id
$values = array( $this->id );

// search keywor*D*s
$keywords = explode(',', $this->keywort);
if( count( $keywords ) > 0 )
{
    $query.= ' AND (' . implode(' OR ', array_map( function( $v ) { return 'KEYWORT like ?'; }, $keywords ) ) . ')';
    $values = array_merge( $values, array_map( function( $v ) { return '%'.trim($v).'%'; }, $keywords ) );
}

// add order and limit
$query.= " ORDER BY `date` DESC LIMIT 6";

// prepare and execute query
$objResult = $this->Database->prepare( $query )->execute( $values ); 


Natürlich ungetestet.

[Swiper]

Vielen Dank für Deine Mühe!

Dein Code sieht etwas komplzierter als meiner aus. Im Grunde, erzeugen beide Varianten den gleichen Code. Allerdings scheint es so, als würde Dein Code auch tatsächlich ohne Error funktionieren. Ich habe Ihn bereits eingebaut und teste ihn noch 1-2 Tage.

Cu Swiper