exec_INSERTquery + SQL Injection

[alexf812]

Hallo,

wenn ich die oben genannte Funktion verwende, werden dann die Eingabewerte automatisch schon maskiert?

Bei einem normalen INSERT ohne Typo hatte ich immer mysql_real_escape_string verwendet. Ich finde aber bei Type nur die Funktion fullquotStr() im Zusammenhang mit Select-Statements.

[steffenk]

der 2. Parameter muss auf true stehen, dann macht TYPO3 ein mysql_real_escape_string.

[alexf812]

hi steffen,

ist das nicht der 3. parameter?

Code:

t3lib_DB.exec_INSERTquery  	(   	$   	 table,
		$  	fields_values,
		$  	no_quote_fields = FALSE
	)

warum ist das standardmässig ausgeschaltet? ich kann ja hier gar nicht unterscheiden zw. einem int-wert, wo ich dasn icht brauche und einem string. wird das dann für alles angwandt?
In der Dokumentaton der db-Klasse habei ch auch gelesen, das in der function UPDATEquery schon eine Funktion fullQuoteArray aufgerufen wird... irgendwie versteh ich dasn icht so ganz.

[steffenk]

stimmt, ist der 3. Parameter.
Das quote wird aufs Array angewendet, dabei ist der Typ int egal, denn da wird ja nichts gequotet.
Warum das standardmässig aus ist hat wohl historische Gründe, ich setz das immer auf true.

[alexf812]

hi steffen,

danke für deine Antwort.
eine Frage habe ich nioch dazu. Wenn die Quotierung aufs Array angewandt wird, warum gibt es dann noch diesen 3. parameter? Reicht es dann nicht aus nur das Array zu quoten?

[steffenk]

versteh die Frage nicht ganz.

Der 3. Parameter ist ja boolean. Ist der true, so wird das quote auf das Array $field_values angewendet, ist der false, wird kein quote gemacht.

Schau einfach mal in der t3lib_db nach, dort findest Du die Funktionen.

[alexf812]

achso, ok da hab ich was falsch verstanden. ich dachte das Quoten wird immer ausgeführt.
hab grad nochmal in die klasse geschaut. da gibt es ja den parameter $no_quote_fields=FALSE, also muss man wohl den dritten parameter nicht unbedingt auf true setzen? no_quote_fields=false heist ja für mich, das das quoten schon voreingestellt ist.