Unterschied zwischen =, == und ===

[timedance123]

Hallo!

1. ich glaub ich würdd gar nix mehr können wenn ich hier nicht fragen kann+ggg+

also wie man aus dem Titel ja entnehmen kann was ist der genaue Unterschied dieser Operatoren?

ich frage deswegen, weil ich eine Datenbankabfrage starte und wenn sie geglückt ist gibt sie den wert 1 (=true) zurück

wenn ich dass jetzt in eine IF-abfrage hau also -->query===1 dann geht das nicht weil die bedingung false ist!wenn ich allerdings query==1 eingebe, dann klappts!

ich weiß dass "===" der Identitätsoperator ist(hoff ich mal+gg+) und da muss alleszusammen identisch sein! aber normal ist ja Zahl immer eine Zahl oder?=)

Bitte um kurze Erläuterung=)wäre toll danke=)

[DSB]

= ist eine Zuweisung eines Wertes.
Also bewirkt $a=4, dass $a den Wert 4 erhält.

== ist ein Vergleich mit Typumwandlung
Bei if ($a==$b) wird der Wert von $a mit $b verglichen und notfalls der Typ angepasst, damit überhaupt verglichen werden kann.

=== ist ein Vergleich ohne Typumwandlung
Da man Äpfel mit Birnen nicht vergleichen kann, ergibt der Vergleich bereits das Ergebnis falsch wenn sich die Typen der Variablen unterscheiden - auch wenn letztlich der Wert (rein theoretisch) gleich zu sein scheint.

siehe Beispielscript:

Code:

<?php
$a=0;
$b="000.00";

if ($a==$b) echo "Die sind gleich!<br>";
else echo "N&#246;, unterschiedlich";

$a=0;
$b="0";

if ($a===$b) echo "Die sind gleich!";
else echo "N&#246;, unterschiedlich";

?>

Im ersten Beispiel erwartet man eigentlich, dass das Ergebnis "unterschiedlich" ergibt. Tut es aber nicht, da $b in den Typ von $a umgewandelt wird.
Intern wird also verglichen if ($a==intval("000.00") ) . Und da intval("000.00") = 0 ist, ergibt der Vergleich "wahr".

Im zweiten Beispiel erwartet man es genau andersherum.
Beide Variablen haben anscheinend dern Wert 0.
Nur ist $a ein Integerwert und $b ist eine Zeichenkette.
Apfel und Birne sind unterschiedlich und deshalb das Ergebnis "falsch".

War das verständlich?

[timedance123]

ja=)das war sogar sehr gut erklärt=)

hättest du nicht bei mir mathe unterrichtn können?

[DSB]

hättest du nicht bei mir mathe unterrichtn können?

Das können wir ja nachholen.

[timedance123]

wann und wo?*gg*

[DSB]

wann und wo?*gg*

Beim nächsten TP-Treffen?
Während sich alle anderen eimerweise Bier hinter die Binde kippen büffeln wir Kurvendiskussionen und Statistiken.

Obwohl, nee, lass mal.
Ich geh lieber in die Ecke zu den Leuten mit den Eimern. *lol*

[timedance123]

oooooch=)

he nix gegen kurvendiskussionen und statistiken=)das kann ich heute noch+gg+ und im eimertrinkn gib ich dann dir unterrichtsstunden

du mal andere frage nachdem du das obrige sogut erklärt hast

stichwort mysql-injection-->wie verhindert man das am besten/einfachsten?

für db-abfragen hab ich eine einfache funktion geschrieben, jetzt wärs fein, wenn ich diese erweitern könnte!gibs da irgendetwas?=)

[DSB]

stichwort mysql-injection-->wie verhindert man das am besten/einfachsten?

Die einfachste und meiner Meinung nach auch sicherste und zugleich schnellste Methode ist es, alle übergebenen Variablen durch mysql_real_escape_string zu jagen. So werden alle Sonderzeichen entsprechend der MySQL-Version maskiert.
Das Thema wird im Netz ziemlich hochgekocht und sicherlich gibt es Scripte, die anfällig für die Injections sind, aber diese einfache Funktion verhindert bereits alles.
PHP schickt in den neueren Versionen sowieso nur einen Befehl an MySQL und nicht mehr mehrere. Eine Injection nach dem Prinzip :
INSERT INTO bla WHERE bla="blub"; DELETE FROM ...... oder ähnliche Folgebefehle ist sowieso nicht mehr möglich.
Mit

Code:

$sql='INSERT INTO `tabelle` VALUES(\''.mysql_real_escape_string($_POST['eingabewert1'].'\',\''.$_POST['eingabewert2'].'\')...

bist Du auf der sicheren Seite.

[DSB]

ich frage deswegen, weil ich eine Datenbankabfrage starte und wenn sie geglückt ist gibt sie den wert 1 (=true) zurück

wenn ich dass jetzt in eine IF-abfrage hau also -->query===1 dann geht das nicht weil die bedingung false ist!wenn ich allerdings query==1 eingebe, dann klappts!

Der Vollständigkeit halber: das Ergebnis der Abfrage ist nicht 1 sondern enthält eine Verbindungskennung oder eine Ergebnismenge. Wenn die Abfrage nicht geklappt hat ist das Ergebnis false.
Um das Ergebnis korrekt zu behandeln müsstest Du so auf Erfolg abfragen:

Code:

$ergebnis=mysql_query($anweisung,$db_verbindung)
if (!$ergebnis===false)
{ //hat geklappt
   ... weitere Anweisungen
}
else echo "<br>Es ein Fehler aufgetreten. Der MySQL-Server meldet: ".mysql_error();

Gewöhn Dir das mit mysql_error() ruhig an. Das erspart Dir jede Menge Zeit bei der Fehlersuche. Meistens hat man nämlich einen Syntaxfehler in der SQL-Anweisung oder hat einen Feldnamen anders geschrieben als er in der Tabelle tatsächlich heißt. So meldet einem MySQL den Fehler und man sieht sofort woran es liegt.

[timedance123]

ok danke=) dass mit mysql_error und mysql_errno hab ich eingebaut+gg+

nur ist die einzige möglichkeit, mysql injection zu verhindern, dass ich bei meinen Skripten jede Datenbankabfrage mit mysql_real_escape_string erweitern muss?

oder gibt es eine Möglichkeit, dass ich dass bei einer Funktion einbauen kann?das wär nämlich das einfachste+gg+

[steffenk]

Die Auslagerung ist schwierig, da Du das nicht auf die gesamte Query anwenden kannst sondern nur auf einzelne Strings.

Mir persönlich reicht die Behandlung der Strings mit addslashes, die neueren PHP-Versionen haben diesbezüglich eh schon die Sicherheitslücken gefüllt, so das die Möglichkeit der Injection kaum mehr gegeben ist.

[timedance123]

hmmm schade wäre toll gewesen wenn das per funktion gehen würde=)

ab wann ist eigentlich diese sicherheitslücke geschlossen worden?(welche php-version) =)

[DSB]

hmmm schade wäre toll gewesen wenn das per funktion gehen würde=)

Und schon hast Du Dir selbst einen Grund gegeben alle Datenbankabfragen in einer eigenen Funktionssammlung oder Klasse zu bündeln.
Ich bewerkstellige alle Datenbankabfragen über eine zentrale, kleine Funktionssammlung und muss Anpassungen (wie z.B. diese) nur innerhalb dieser Funktion einbauen. Auch die Queries werden innerhalb der Funktion aufgebaut - so braucht man nur dort einzugreifen und zu ändern.
Auch eine spätere Erweiterung auf z.B. andere Datenbanksysteme ist so kein großer Aufwand mehr.

Wenn man jedoch innerhalb seines Scripts immer wieder Queries direkt per mysql-Befehle übergibt, muss man an all den Stellen händisch eingreifen und welche Arbeit das bedeutet, weißt Du ja jetzt.

[timedance123]

ich hab auch eine klasse erstellt für das ganze datenbankzeugs nur meine funktion für die datenbankabfrage ist 2 zeilen lang+gg+und ich weiß jetzt nicht wie ich das bewerkstelligen soll, dass dies in einer funktion ist nachdem ich ja das direkt auf die eingaben $_POST, $_GET oder was sonst noch zielen muss=)


hmmm kannst mir vl. ein bisschen einen Lösungsansatz verraten?=)wäre toll danke=)

[DSB]

Mein Lösungsansatz sieht so aus, dass ich ein zunächst leeres Objekt erzeuge.
Diesem Objekt gebe ich dann die benötigen Eigenschaften/Werte.
Die Funktion save_object nimmt das Objekt entgegen und wertet die Objekteigenschaften/Werte aus. Die Variablenbezeichnung entspricht dabei dem Namen der Spalte in der MySQL-Datenbank.
Den Query erzeuge ich so automatisch (Tippfehler mit vergessenen Hochkommas oder Backticks passieren mir so nicht mehr *g*) . Datenbank, Tabellenname und der Primärschlüssel werden der Funktion übergeben und schon hast Du alle Informationen die benötigt werden. Über den Primärschlüssel kannst Du auch entscheiden, ob es sich um einen Insert- oder Update-Befehl handeln muss.
Vor dem Funktionsaufruf muss man nur das Objekt entsprechend vorbereiten.
Um ein Objekt in der DB zu speichern benötige ich dann nur einen Aufruf:
$saved=save_object($obj,'Datenbank','Tabelle','Primärschlüssel');

Handelt es sich um einen Neueintrag wird die ID des Eintrags zurückgegeben, ansonsten true oder false.

Statt mit einem Objekt kann man das genauso mit einem Array machen.
Ich habs über eine Funktion gemacht, das in einer Klasse zu kapseln macht aber auch Sinn.

Dies ist mein Lösungsansatz - natürlich führen aber viele Wege nach Rom.