cms2day Forum - Community & Support rund ums cms2day

Hi,
ich bin grad dabei mal wieder ein Modul für cms2day zu coden und habe dabei einen Bug (denke ich) gefunden.

Wenn ich bei meinem Modul in die info.inc.php bei $modul_info beispielsweise

eingebe und auf das "Modul installieren"-Symbol klicke, führt er zwar die install.sql aus, allerdings speichert er nicht, dass das Modul installiert wird. Ohne den HTML-Code geht's wunderbar. Liegt also anscheinend an den ', da diese ja nicht escaped werden und somit den Query Code sprengen. Anders kann ichs mir nicht erklären. Wenn ich normale ", wie bei HTML üblich, nehme, geht's auch.

Wenn ich in Zeile 130 der module.inc.php im admin/inc alle Variablen vor dem Eintragen in die Datenbank alle Variablen mit mysql_real_escape_string escape, geht alles super.

Gruß,
Carsten

Es funktioniert ja. Allerdings nur mit doppelten Anführungszeichen (") und nicht mit Einfachen ('). Ich weiß nicht wie weit deine MySQL & PHP Kenntnisse reichen, allerdings KANN es vom cms2day Code gar nicht mit einfachen Anführungszeichen funktionieren. Dass alle anderen gehen, liegt daran, dass diese keine ' verwenden

Dass da " hinkommen, weiß ich auch. Das mit dem ' war ein Versehen. Trotzdem kann es doch sein, dass jemand mal eine Beschreibung mach in der - in welcher Form auch immer - ein ' vorkommt oder?

Klar, aber wer will diese per Hand escapen, wenns doch so eine nützliche Funktion gibt? Nicht jeder geht bei der Fehlersuche davon aus, dass die Daten vor dem eintragen in die Datenbank nicht automatisch escaped werden. Aber das ist bestimmt wieder so ein Thema, über das man sich ewig streiten kann.

du meinst, es wäre unfug, bei einem einzigen Query die paar Variablen mit mysql_real_escape_string zu escapen? Naja wenn du meinst :/