Hallo

ich habe jetzt ein Problem mit dem Sysdate, wie muss ich das in diesem Fall schreiben?
was ist sysdate()?

das hättest Du besser nachgesehen, bevor Du schlechte Ratschläge gibst ...
Es ist in diesem Zusammenhang klar, dass es sich um eine MySQL-Funktion handeln muss.

wenn du ein datum in eine datenbank schreiben willst, mach das entweder mit time() als unsigned int als unix timestamp

Nein! Nein!! Nein!!!

Das ist eine ganz schlechte, fürchterlich schlechte Idee. Auf solche Ideen kommen hauptsächlich PHP-Programmierer, die keine Ahnung von Datenbanken haben. :-( Nein, man nutzt für Datums- und Zeitangaben den angemessenen Datentyp des Datenbankmanagementsystems - ganz genauso wie es der OP ohnehin schon macht.

oder nutze bei einer mysqldatenbank den datentyp timestamp (!= unix timestamp)

Nur wenn man den Zauber des TIMESTAMP-Datentyps benötigt.

bzw date_time

Der Datentyp heißt DATETIME.

und lasse diesen DIREKT von der datenbank setzen (default wert)

Allmählich werden die Ratschläge besser und läuft auf das hinaus, was der OP ohnehin schon macht :-) Siehe SYSDATE().

Freundliche Grüße

Vinzenz

Hello,

Du bekommst hier lediglich den Dateipfad des aktuellen Scripts relativ zum Wurzelverzeichnis - es wird weder der Hostname vorne noch der Querystring hinten angehängt

zuzüglich der "Path Info", also einer Ergänzug, die man hionter einer gültigen URL noch anhängen kann.

http://example.org/startseite.php/hier/steht/eventuell/noch/was

Aufgerufen wird nun vom Apache mit nicht ausgeschaltetem Path-Info-Feature die Ressource startseite.php auf der Domain und dieser werden noch die Anhänge übergeben.
Diese landen dann in $_SERVER['PATH_INFO'], das aber nur vorhanden ist, wenn es solche Anhänge gibt.

Sie landen aber auich in $_SERVER['PHP_SELF'] und das ermöglicht die Entführung von Formularen.
Man muss z.B. einem Opfer nur einen Link auf seine "Loginseite" mit entsprechendenm Anhang senden, er bekommt das Originalformular vorgelegt, das jetzt aber ein manipuliertes action-Attribut enthält.

Das Login landet dann also z.B. beim Linkversender.

Ein harzliches Glückauf

Tom vom Berg

http://bergpost.annerschbarrich.de

Hallo Vinzenz,

ob Du VALUES mit Spalten- und Wertliste oder SET mit einzelnen Zuweisungen benutzt, hat keinen Einfluss auf die Sicherheit.

aber das mysql_real_escape_string($_POST['xyz']), ?

ansonsten Danke ich Dir vielmals für die Erklärung und Hilfe, ich habe es verstanden!

Da ich nicht so viel in PHP erstelle, komme ich manchmal mit den verschiedenen Schreibweisen nicht klar.

eigentlich wollte ich mir die oben aufgeführte angewöhnen, doch leider lande ich sehr oft bei der althergebrachten.
wie hier
   mysql_query("insert into tab(f1,f2) values (
    '".mysql_real_escape_string($_POST['f1'])."',
    '".mysql_real_escape_string($code)."')");
          }

Ein schönes Wochenende
Andy