Hallo

ich habe folgendes problem

ich möchte die user daten per formulat ändern aber in der sql wird umlaute so gespeichert
"Ã********Ã****Ã?&Acirc"

so schaut mein code aus

PHP-Code:

<?php 
// ZUM BEARBEITEN VON USER DATEN

if(isset($_POST['doSave']) && $_POST['doSave'] == 'Speichern') {
  
// Filter POST data for harmful code (sanitize)
foreach($_POST as $key => $value) {
    $data[$key] = filter($value);

}


mysql_query("UPDATE users SET
            `user_name` = '$data[name]',
            `adresse` = '$data[adresse]',
            `ort` = '$data[ort]',
            `plz` = '$data[plz]',
            `tel` = '$data[tel]'
            WHERE id = '$_GET[id]'
             ");
 

$msg[] = "Ihre Daten wurden erfogreich ge&auml;ndert";
 }

$rs_settings = mysql_query("select * from users where id='$_GET[id]'"); 

?>

und hier das formular

PHP-Code:

<?php while ($row_settings = mysql_fetch_array($rs_settings)) {?>
<form action="" id="contactForm" method="post" name="myform" >

<ul class="forms">
        <li class="odd"> <span class="name">UserName</span>
          <input type="text" name="name" class="mid" value="<?php echo $row_settings['user_name']; ?> " /> </li>
        <li class="odd"> <span class="name">Adresse</span>
          <input type="text" name="adresse" class="mid" value="<?php echo $row_settings['adresse']; ?> " /> </li>
        <li class="odd"> <span class="name">Ort</span>
          <input type="text" name="ort" class="mid" value="<?php echo $row_settings['ort']; ?> " /> </li>
        <li class="odd"> <span class="name">PLZ</span>
          <input type="text" name="plz" class="mid" value="<?php echo $row_settings['plz']; ?> " /> </li>
        <li class="odd"> <span class="name">Telefon</span>
          <input type="text" name="tel" class="mid" value=" <?php echo $row_settings['tel']; ?> " /> </li>

</ul>

<input class="btn" name="doSave" type="submit" id="doSave" value="Speichern">
</form>

hab schon einiges ausprobiert aber aber die lösung noch nicht gefunden
vielleicht könnt ihr mir ja weiter helfen

LG aus österreich

Liegt vermutlich an der filter methode...


Achja.. das isn scherz oder?

PHP-Code:

$rs_settings = mysql_query("select * from users where id='$_GET[id]'"); 


Eine ungefilterte GET Variable in einem SQL Query?o0

wieso soll das denn ein scherz sein?

Hmm mal überlegen... Weil SQL Injection?

Naja egal.. Wie gesagt liegt es warscheinlich
an deiner filter methode
mit der du die POST Variablen filterst.

ja das ist mir schon bewust aber ich mach das ja zu lehrzwecken davon wird nix online gestellt...

ich mach das ja nur deswegen weil ich so besser lehrnen kann

falls du noch Hilfe brauchst solltest du mal die filter() methode posten.

Und zum besser dran lernen... lern es lieber direkt richtig..
Schlechte Angewohnheiten fließen auch gerne ma in richtigen Code rein

okey ich werd mir noch mehr in zug heuen und alles überarbeiten...

naja mit die POST filter methpden hab ich mich eigendlich noch nicht beschäftigt

ähhh da du die methode verwendest um etwas das in die Datenbank eingetragen werden soll zu filtern,
wäre es angebracht die mysql_real_escape_string() methode zu verwenden anstelle von filter()
http://de3.php.net/manual/de/functio...ape-string.php

filter() dürfte für die Ausgabe von Daten bzw. Texten sein


achja und falls id wie ich vermute nur eine zahl ist... diese kannst du einfach durch die methode intval() filtern.
http://de3.php.net/manual/de/function.intval.php

PHP-Code:

<?php 
if(isset($_POST['doSave']) && $_POST['doSave'] == 'Speichern') {
  
// Filter POST data for harmful code (sanitize)
foreach($_POST as $key => $value) {
    $data[$key] = mysql_real_escape_string($value);

}


mysql_query("UPDATE users SET
            `user_name`        =  '".mysql_real_escape_string($data['name'])."',
            `adresse`        =  '".mysql_real_escape_string($data['adresse'])."',
            `ort`            =  '".mysql_real_escape_string($data['ort'])."',
            `plz`            =  '".mysql_real_escape_string($data['plz'])."',
            `tel`            =  '".mysql_real_escape_string($data['tel'])."'
            WHERE id = '$_GET[id]'
             ");
 

$msg[] = "Ihre Daten wurden erfogreich ge&auml;ndert";
 }

$rs_settings = mysql_query("select * from users where id='$_GET[id]'"); 

?>

Zitat von H4ckHunt3r

falls id wie ich vermute nur eine zahl ist... diese kannst du einfach durch die methode intval() filtern.
http://de3.php.net/manual/de/function.intval.php

Und die POST variablen musst du nur einmal filtern.
Du filterst diese zwei mal.
Einmal oben in der Schleife und einmal darunter im Query


achja und das

PHP-Code:

isset($_POST['doSave']) && 


ist unnötig, da wenn

PHP-Code:

$_POST['doSave'] == 'Speichern' 


wahr ist, muss doSave ja zwangsläufig gesetzt sein

thx nochmal

so schauts daweil aus

PHP-Code:

if ($_POST['doSave'] == 'Speichern') {
  
foreach($_POST as $key => $value) {
    $data[$key] = mysql_real_escape_string($value);

} 


aber das mit die interval check ich noch immer nicht

PHP-Code:

<?php 
if($_POST['doSave'] == 'Speichern') {
  
// Filter POST data for harmful code (sanitize)
foreach($_POST as $key => $value) {
    $data[$key] = mysql_real_escape_string($value);

}


mysql_query("UPDATE users SET
            `user_name`        =  '".$data['name']."',
            `adresse`        =  '".$data['adresse']."',
            `ort`            =  '".$data['ort']."',
            `plz`            =  '".$data['plz']."',
            `tel`            =  '".$data['tel']."'
            WHERE id = '".intval($_GET['id'])."'
             ");
 

$msg[] = "Ihre Daten wurden erfogreich ge&auml;ndert";
 }

$rs_settings = mysql_query("select * from users where id='".intval($_GET['id'])."'"); 

?>

nicht interval sondern intval zusammen gesetzt aus Int(eger) und Val(ue).

oki danke dir ...

so ich hab jetzt feierabend ..

eine frage hab ich noch ..

kann man denn mit include von auf einem anderes server liegen daten includen?

Zitat von latinum_1982

kann man denn mit include von auf einem anderes server liegen daten includen?

Jein, hängt davon ab, ob allow_url_fopen in der php.ini auf true (oder 1) steht. Grundsätzlich ist davon aber abzuraten. Denn damit könntest du dir Code einschleusen, den du überhaupt nicht ausführen willst.