Hi,

ich habe ein Gästebuchformular erstellt und möchte die Daten in einer Datenbank speichern. Das funktioniert auch soweit, doch wenn ich in dem Textfeld (textarea) den Text "Das ist ein Test" speichern möchte, kommt "Das+ist+ein+Test" heraus. Ich verwende zwecks SQL Injection die Funktion mysql_real_escape_string.
Wie kann ich den Text "normal" abspeichern ohne dass ich die +-Zeichen beim Ausgeben durch " " ersetzen muss? Gibt es da keine "Rückwärtsfunktion"?

Du verwendest GET?

Wahrscheinlich suchst du urldecode() siehe auch Wikipedia

Je nach Einstellung kann vor dem mysql_real_escape() noch ein stripslashes() hilfreich sein

Edits: Hervorgehoben/Rechtschreibung

Du solltest sowas immer per POST machen!
Siehe: http://de.wikipedia.org/wiki/XSRF
Edit:// Ok, also die Sache mit dem POST steht zurecht unter "Unzulängliche Abwehrmaßnahmen". Da ich aber denke, dass du kein Shared-Secret System eingebaut hast und das auch vorerst nicht vor hast, würde ich trotzdem zu Post raten. Es gibt auch noch andere Gründe, z.B. die Begrenzung der URL-Länge oder dass GET-Daten in den Server-Logs stehen, wo sie nichts zu suchen haben usw...

Ansonsten: $_POST['key'] und $_GET['key'] geben alle die Daten bereits dekodiert
zurück. Wie machst du das?

Und wegen mysql_real_esacpe_string: Informiere dich mal über Magic Quotes und stripslashes. Die meisten Server wenden vorher bereits eine ähnliche Funktion auf alle Elemente im $_POST-, $_GET- usw. -Array an. Dann muss man Magic Quotes entweder ausschalten (bessere Idee) oder vorher nochmal mit stripslashes drüber gehen. (schlechtere Idee)

Mit freundlichen Grüßen,

Valle

Ich mache das über Post.

Jetzt werden die Plus-Zeichen lediglich in %2B umgewandelt.

Inwiefern muss da noch ein stripslashes() rein? Reicht mysql_real_escape() nicht aus?

Wie kommst du an die Daten von POST? Einfach per $_POST? Ich glaube, dass wir da einige Zeilen Code brauchen. Das Problem muss wohl woanders liegen. Normal wendet man keine weiteren Funktionen auf diese Daten an, damit diese unkodiert bei dir ankommen.

Schau dir mal meinen Post an, ich habe das noch etwas genauer beschrieben. Stichwort dabei ist eben "Magic Quotes". Ich denke dazu müsste einiges zu finden sein, auch auf Wikipedia. Ich denke aber auch, dass dies ein anderes Problem ist und mit den +-Zeichen nichts zu tun hat.

Mit freundlichen Grüßen,

Valle

Ah, jetzt funktionierts...hatte noch ein urlencode drin, was die Plus-Zeichen reingemacht hat
Okay, danke für die Begriffe, ich les mich da gleich mal in Wiki ein

Danke für die Hilfe!