Modul zum maskieren von Sonderzeichen (gelöst) (Fragen zu Perl-Modulen) - Perl-Community.de

Start · Board · Anwendungen/Programme/Skripte in Perl · Fragen zu Perl-Modulen

2024-11-23 00:48:50
Europe/Berlin
Einloggen (Registrieren)
- Einstellungen
- Statistics
Jemand zu Hause?
0 Benutzer online

[thread]16416[/thread]

submit to reddit

Modul zum maskieren von Sonderzeichen [gelöst]

[gelöst]

Tags: perl5 Ähnliche Threads

Leser: 21

Articles: hide open all | hide show old branches

+25 replies
Kean

2011-06-15 09:55

User since
2004-08-18
463 Artikel
BenutzerIn

Beim schreiben in eine MySQL Datenbank habe ich immer wieder Probleme mit Sonderzeichen welche ich erst decodieren und encodieren muss und jetzt noch Probleme mit "/" und "\".

Gibt es ein Modul welches alle Zeichen die nicht alphanumerisch sind irgendwie maskiert? Ähnlich wie ü in HTML z.b.
- +7 replies
- Taulmarill
  
  2011-06-15 10:08
  
  User since
  2004-02-19
  1750 Artikel
  BenutzerIn
  
  Wenn du Daten in eine Datenbank schreibst, solltest du Platzhalter verwenden
  http://bobby-tables.com/perl.html
  $_=unpack"B*",~pack"H*",$_ and y&1|0& |#&&print"$_\n"for@.=qw BFA2F7C39139F45F78 0A28104594444504400 0A2F107D54447DE7800 0A2110453444450500 73CF1045138445F4800 0 F3EF2044E3D17DE 8A08A0451412411 F3CF207DF41C79E 820A20451412414 83E93C4513D17D2B
  - +6 replies
  - Kean
    
    2011-06-15 10:12
    
    User since
    2004-08-18
    463 Artikel
    BenutzerIn
    
    Was für einen Vorteil habe ich mit Platzhaltern?
    Das hat keine Auswirkungen auf Umlaute und Sonderzeichen oder?
    - +5 replies
    - Taulmarill
      
      2011-06-15 10:21
      
      User since
      2004-02-19
      1750 Artikel
      BenutzerIn
      
      Mit den Platzhaltern sagst du dem Datenbanktreiber, dass es sich hier um Daten und nicht um SQL handelt. Der Vorteil ist, dass du dich nicht mehr selbst um das Escapen kümmern musst.
      $_=unpack"B*",~pack"H*",$_ and y&1|0& |#&&print"$_\n"for@.=qw BFA2F7C39139F45F78 0A28104594444504400 0A2F107D54447DE7800 0A2110453444450500 73CF1045138445F4800 0 F3EF2044E3D17DE 8A08A0451412411 F3CF207DF41C79E 820A20451412414 83E93C4513D17D2B
      - +4 replies
      - Kean
        
        2011-06-15 10:47
        
        User since
        2004-08-18
        463 Artikel
        BenutzerIn
        
        Okay hört sich gut an. Ich arbeite aber beim ändern von Daten in der DB mit dem do. Wie kann ich dort Platzhalter einfügen?
        
        So vielleicht?:
        
        Code (perl): (dl )
        
        $dbh->do("UPDATE Einstellungen SET Wert = ? WHERE AppID = ?;", ($wert, $AppID));
        
        renee
        
        2011-06-15 10:56
        
        User since
        2003-08-04
        14371 Artikel
        ModeratorIn
        
        Code (perl): (dl )
        
        $dbh->do( "UPDATE Einstellungen SET Wert = ? WHERE AppID = ?;", undef, $wert, $AppID );
        
        Das undef ist notwendig, weil do als zweiten Parameter eigentlich eine Hashreferenz erwartet...
        OTRS-Erweiterungen (http://feature-addons.de/)
        Frankfurt Perlmongers (http://frankfurt.pm/)
        --
        
        Unterlagen OTRS-Workshop 2012: http://otrs.perl-services.de/workshop.html
        Perl-Entwicklung: http://perl-services.de/
        
        +2 replies
        
        Taulmarill
        
        2011-06-15 10:56
        
        User since
        2004-02-19
        1750 Artikel
        BenutzerIn
        
        Beinahe richtig geraten. So sollte es gehen (ungetestet):
        
        Code (perl): (dl )
        
        1 2 3 4 5
        
        $dbh->do( "UPDATE Einstellungen SET Wert = ? WHERE AppID = ?;", undef, $wert, $AppID );
        
        Ansonsten empfiehlt es sich immer in die Dokumentation zu schauen http://search.cpan.org/~timb/DBI-1.616/DBI.pm#do
        $_=unpack"B*",~pack"H*",$_ and y&1|0& |#&&print"$_\n"for@.=qw BFA2F7C39139F45F78 0A28104594444504400 0A2F107D54447DE7800 0A2110453444450500 73CF1045138445F4800 0 F3EF2044E3D17DE 8A08A0451412411 F3CF207DF41C79E 820A20451412414 83E93C4513D17D2B
        
        Kean
        
        2011-06-15 11:07
        
        User since
        2004-08-18
        463 Artikel
        BenutzerIn
        
        Okay danke.
- +17 replies
- Gast wer
  
  2011-06-15 11:29
  
  Und wider jemand vor SQL-Injections gerettet :-)
  Last edited: 2011-06-15 11:42:41 +0200 (CEST)
  - +16 replies
  - rosti
    
    2011-06-21 21:59
    
    User since
    2011-03-19
    3472 Artikel
    BenutzerIn
    
    Die Rettung lautet $dbh->quote($input); und nichts Anders ;)
    - +3 replies
    - topeg
      
      2011-06-21 22:07
      
      User since
      2006-07-10
      2611 Artikel
      BenutzerIn
      
      Ist unsicher, da hier nicht interpretiert wird und man durch geschickte Wahl von Trennern und Quotes das Quoting aushebeln kann. Ich müsste irgendwo noch ein Beispiel für eine ältere DBI Version und PostgreSQL haben.
      - +2 replies
      - rosti
        
        2011-06-21 22:15
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Also am heutigen "Arbeitstag" war folgendes passiert:
        
        Vorher:
        
        Code (perl): (dl )
        
        1 2 3 4 5
        
        my $q = qq( SELECT DISTINCT oid FROM $self->{TABN} WHERE MATCH(val) AGAINST('$query' IN BOOLEAN MODE) ORDER BY oid );
        
        Problem: Ein einfaches Hochkomma in $query ging durch bis zum SQL-Interpreter.
        
        Nachher:
        
        Code (perl): (dl )
        
        1 2 3 4 5 6
        
        $query = $self->{DBH}->quote($query); my $q = qq( SELECT DISTINCT oid FROM $self->{TABN} WHERE MATCH(val) AGAINST($query IN BOOLEAN MODE) ORDER BY oid );
        
        Nicht mehr.
        
        Edit: $dbh->quote() wird bei Platzhaltern implizit verwendet, das habe ich mir vor ein paar Jahren mal angeschaut.
        Last edited: 2011-06-21 22:22:31 +0200 (CEST)
        
        topeg
        
        2011-06-21 22:58
        
        User since
        2006-07-10
        2611 Artikel
        BenutzerIn
        
        Bei DBD::Pg und DBD::mysql finde ich deine Aussage nicht bestätigt.
    - +12 replies
    - pq
      
      2011-06-21 22:46
      
      User since
      2003-08-04
      12208 Artikel
      Admin1
      
      2011-06-21T19:59:38 rosti
      Die Rettung lautet $dbh->quote($input); und nichts Anders ;)
      
      dann erklärst du sicher auch, warum man keine platzhalter verwenden sollte, was du ja mit "nicht anders" aussagst.
      bin sehr gespannt.
      Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
      lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
      - +11 replies
      - rosti
        
        2011-06-22 07:29
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        2011-06-21T20:46:25 pq
        2011-06-21T19:59:38 rosti
        Die Rettung lautet $dbh->quote($input); und nichts Anders ;)
        
        dann erklärst du sicher auch, warum man keine platzhalter verwenden sollte, was du ja mit "nicht anders" aussagst.
        bin sehr gespannt.
        
        Sofern du Platzhalter verwendest, wird $dbh->quote() implizit aufgerufen.
        
        +8 replies
        
        topeg
        
        2011-06-22 07:49
        
        User since
        2006-07-10
        2611 Artikel
        BenutzerIn
        
        Ich würde wirklich gerne wissen wo du das gefunden hast.
        
        rosti
        
        2011-06-22 08:43
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        2011-06-22T05:49:32 topeg
        Ich würde wirklich gerne wissen wo du das gefunden hast.
        
        Weiß ich selbst nicht mehr, das habe ich vor ein paar Jahren mal irgendwo gelesen. Du kannst es jedoch testen, indem Du injektionsbehaftete/fehlerhafte Eingaben über Platzhalter abwickelst oder direkt in das Statement gibst. Setze RaiseError und eval:
        
        Code (perl): (dl )
        
        1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28
        
        # Test 1: $dbh->quote sub test{ my $self = shift; my $query = shift; #$query = $self->{DBH}->quote($query); my $sql = qq(SELECT oid FROM objects WHERE oid=$query); my $ref = []; eval{ my $sth = $self->{DBH}->prepare($sql); $sth->execute(); $ref = $sth->fetchall_arrayref; }; return $@ ? undef : $ref; } # Test 2: Platzhalter sub test2{ my $self = shift; my $query = shift; my $sql = qq(SELECT oid FROM objects WHERE oid=?); my $ref = []; eval{ my $sth = $self->{DBH}->prepare($sql); $sth->execute($query); $ref = $sth->fetchall_arrayref; }; return $@ ? undef : $ref; }
        
        +6 replies
        
        rosti
        
        2011-06-22 12:21
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        2011-06-22T05:49:32 topeg
        Ich würde wirklich gerne wissen wo du das gefunden hast.
        
        Erneut gesucht und gefunden, es steht im Modul selbst ;)
        
        DBD/mysql.pm
        
        Quote
        See L<DBI(3)> for details on the quote and do methods. An alternative approach is
        
        $dbh->do("INSERT INTO foo VALUES (?, ?)", undef,
        $number, $name);
        
        in which case the quote method is executed automatically...
        
        Interessant ist vielleicht noch, dass mit bind() der Feldtyp klassifiziert werden kann was die Sicherheit erhöhen könnte. Ist im Fall abzuwägen. Ebenso die Entscheidung, ob prepared-Statements mit Platzhaltern verwendet werden oder nicht. Manchmal gibt es _mehrere Möglichkeiten zum Schreiben _eines Codes.
        
        +5 replies
        
        pq
        
        2011-06-22 12:40
        
        User since
        2003-08-04
        12208 Artikel
        Admin1
        
        2011-06-22T10:21:32 rosti
        Manchmal gibt es _mehrere Möglichkeiten zum Schreiben _eines Codes.
        
        ach tatsächlich. und deshalb schriebst du oben, dass es nur eine einzige möglichkeit gibt?
        
        2011-06-21T19:59:38 rosti
        Die Rettung lautet $dbh->quote($input); und nichts Anders ;)
        
        Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
        lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
        
        +4 replies
        
        rosti
        
        2011-06-22 12:55
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        2011-06-22T10:40:08 pq
        2011-06-22T10:21:32 rosti
        Manchmal gibt es _mehrere Möglichkeiten zum Schreiben _eines Codes.
        
        ach tatsächlich. und deshalb schriebst du oben, dass es nur eine einzige möglichkeit gibt?
        
        2011-06-21T19:59:38 rosti
        Die Rettung lautet $dbh->quote($input); und nichts Anders ;)
        
        Genau. Weil letztendlich nichts Anderes gemacht werden muss, um die Sache sicher zu kriegen. Wobei es egal ist, ob Du das mit bind() erreichst oder mit quote().
        
        +3 replies
        
        topeg
        
        2011-06-22 13:15
        
        User since
        2006-07-10
        2611 Artikel
        BenutzerIn
        
        Deine Aussagen ist nur korrekt, wenn du dich auf DBD::mysql beziehst. Eine Verallgemeinerung ist nicht zulässig. Bedenke dass es mehr Backends als DBD::mysql gibt.
        
        Aus gründen der Portabilität sollte man sich auf die Handhabung von Platzhaltern durch das Backend verlassen und nicht selber das Quoting übernehmen.
        
        +2 replies
        
        rosti
        
        2011-06-22 13:37
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Es gibt mehrere Layer, das ist richtig. Die unterstützen jedoch nicht alle den Gebrauch von Platzhaltern.
        
        Die Definition der quote-Method sieht so aus: DBD::_::db::quote().
        
        Mit meinem Verständnis für die Spezialvariable "_" wird an dieser Stelle das Handle vom jeweiligen Layer eingebaut. Macht ja auch Sinn, denn quoten ist escapen von Sonderzeichen, die ggf. vom Layer abhängen.
        
        topeg
        
        2011-06-22 14:58
        
        User since
        2006-07-10
        2611 Artikel
        BenutzerIn
        
        "DBD::_" und die Subklassen davon bilden einen Dummy-Treiber. Dieser kann als Basisklasse für andere DBD-Treiber dienen, muss aber nicht.
        
        Die meisten Treiber Implementieren ein eigenes quote. Das quote aus DBD::_::db entwertet nur ' durch verdoppeln und setzt ihn ' ... '. Das reicht für viele Datenbanken nicht aus.
        
        +2 replies
        
        pq
        
        2011-06-22 09:36
        
        User since
        2003-08-04
        12208 Artikel
        Admin1
        
        kommt das nicht auf den treiber an? bei serverseitigen prepared statements sollte das doch gar nicht nötig sein.
        bei DBD::mysql ist es laut doku der default, ja. aber so als pauschale aussage fand ich das jetzt nicht so prickelnd.
        es wurden doch schon platzhalter erwähnt, warum empfiehlst du stattdessen, manuell quote() aufzurufen?
        Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
        lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
        
        topeg
        
        2011-06-22 10:21
        
        User since
        2006-07-10
        2611 Artikel
        BenutzerIn
        
        Stimmt wo du darauf hinweist habe ich es auch in der Doku zu DBD::mysql gefunden. In DBD::pg finde ich keinen Hinweis auf ein solches Quoting. Vielmehr lese ich in den Quellen, bei Platzhaltern die Daten getrennt übertragen werden.
        
        Noch ein Grund PostgreSQL zu benutzen. :-)

View all threads created 2011-06-15 09:55.