Folgendes Problem:

Wie bekomm ich es hin in meinem Template zwar HTML auszuführen das beisp.:

<table><tr><td></td></tr></table>

geht aber allerding kein SQL-Befehl.

Soll in der Textarea passieren!

Wie genau stellst Du Dir das vor


SQL-Befehl:


<table><tr><td> Ergebniss des SQL-Befehls</td></tr></table>


oder?

<table><tr><td>SQL-Befehl</td></tr></table>

<table><tr><td>Ergebeniss....</td></tr></table>

Ich möchte das man in der Textarea alles schreiben kann...

Sprich HTML oder nur text jedoch sollen dort keine SQL-Befehle ausgeführt werden falls es jemand versucht mit beispiel:

mysql_query();

Genau diese befehle sollen geslashed werden also das ein ausführen nicht möglich wird!

Geht es dir nur um die SQL-Funktionen oder um alle PHP-Funktionen?

Nur um die SQL-Funktionen

Hmm versuche es mal mit mysql_real_escape_string oder mysql_escape_string

Damit sollten eigentlich nur Zeichen escaped werden die den SQL Query verändern könnten.

Hab ich getestet doch leider escapet er mich auch HTML was er ja nicht soll

Die user sollen/dürfen HTML verwenden, dennoch soll dabei bei einem Hackversuch kein SQL ausgeführt werden!

Hab es mal so getest wenn ich in der Textarea das eintrag:

Ihr Impressum<br />
<table class="tableborder" cellpadding="3" cellspacing="1" border="0" align="center">
<tr>
<td class="tablea">Hallo</td>
<td class="tableb">Hallo</td>
</tr>
</table><br />

$re = mysql_query("SELECT * FROM imprint");
while($row = mysql_fetch_array($re)) {
echo $row['imprint'];
}

Dabei wird aber allerding bei beiden dieses:

Ihr Impressum<br />
<table class=\"tableborder\" cellpadding=\"3\" cellspacing=\"1\" border=\"0\" align=\"center\">
<tr>
<td class=\"tablea\">Hallo</td>
<td class=\"tableb\">Hallo</td>
</tr>
</table><br />

$re = mysql_query(\"SELECT * FROM imprint\");
while($row = mysql_fetch_array($re)) {
echo $row[\'imprint\'];
}

es sollte aber dann so aussehen:

SQL escapet aber nicht HTML

Ihr Impressum<br />
<table class="tableborder" cellpadding="3" cellspacing="1" border="0" align="center">
<tr>
<td class="tablea">Hallo</td>
<td class="tableb">Hallo</td>
</tr>
</table><br />

$re = mysql_query(\"SELECT * FROM imprint\");
while($row = mysql_fetch_array($re)) {
echo $row[\'imprint\'];
}

Ich glaube so einfach geht das nicht was du willst

Die Zeichen " und ' beeinflussen immer den Query also müssen die auch in HTML escaped werden.

Ich kenne zwar dein Vorhaben nicht, aber ich denke Code in einem Textfeld zuzulassen ist so oder so nicht so eine gute Idee. Denn auch mit Javascript und PHP kann man ziemlich böse Sachen machen.

Wenn du PHP nicht abgesichert ist, kann man darüber sogar zum Beispiel den Server herunterfahren.
Mit Javascript kann man ganz nervige endlos Alerts ausgeben wo der User nachher seinen Browser neu starten muss.

An dem bin ich ja am arbeiten das es nicht geht...

Aber ich möchte ja das der User für sein Impressum auch CSS verwenden kann... wenn dann aber einer Kommt... "" der mal schauen will ob es zum Hacken schafft und SQL rein bringt

ansonsten muss ich es so erstma lassen wie es ist

Dann schon mal vielen vielen dank

Würde da ein Wysiwyg Editor nicht reichen? Der Benutzer muss ja nur ein paar Formatierungsmöglichkeiten haben.

Öhm... für was?

Find eich nur wichtig wenn es sich dabei um ein Forum, Gästebuch oder ein Blog handelt aber für ein Impressum?

Ein Wysiwyg Editor würde schon alles filtern (PHP, Javascript, SQL), aber trotzdem sind Formatierungen möglich.
Mit TinyMCE sind sogar Tabellen und CSS Vorlagen möglich.

Solang du nicht mit eval() arbeitest, wird der PHP Code doch generell nicht ausgeführt. Du schreibst den Code ja nur per Echo hin oder etwa nicht?

Ansonsten beim Eintragen den Code der in die Datenbank über alles was durch die Formulare kommt ein mysql_real_escape_string() machen. Damit sollte eine SQL injection eignetlich nicht möglich sein.