Speichern SQL-Statement in MEMO-Feld

Hallo zusammen,

ich möchte SQL-Statements - neben anderen Daten - in einer Tabelle in einer SQL-DB speichern.

Dazu baue ich mir einen Insert-Befehl in der Variablen "$sQuery".

$sInsertBef = "
insert into KIS_Protocol
(
KIS_User           ,
KIS_TimeStamp      ,
SQL_Befehl
) values (
";
$sInsertBef .= "'" . $wkisUser. "', ";
$sInsertBef .= "'" . date('Y-m-d h:i:s'). "', ";
$sInsertBef .= "'" . $sQuery                     . "', ";
$sInsertBef .= " ) ";


$result = odbc_exec($gupta_connect,$sInsertBef);

Grundsätzlich klappt der INSERT auch.

Aber beim SQL-Befehl - der gespeichert werden soll - leider nicht.

Variable "$sQuery"

Wie kann ich Variable "$sQuery" so kapseln, daß der SQL-EXEC dies nur als Daten betrachtet und nicht als Befehl?

Hat jemand einen Tipp?

Danke Harro

Hallo GHSVS,

danke für die Info, tut mir leid.

mh ... ich kann meine Posts aber einwandfrei sehen.

Wo ist das Problem?

Gruß Harro

Zitat von Indigo66

Hab ich mal für Dich gemacht.

Danke, verstanden. Werde mich bessern.

Bin ein Stück weiter. Habe die einfachen Hochkommas gegen doppelte getauscht.

Damit ist der String erst mal formal ok.

$sQueryCh    = str_replace("'",'"',$sQuery);

Schon gibt es die nächste Herausforderung:

Ich möchte den String in einem MEMO-Feld speichern.

Dazu muß das Feld über eine Bind-Variable "angeliefert" werden.

Wie mache ich das?

In den mir bekannten Programmiersprachen geht das so:

sQuery = "Select * from meineTabelle where Irgendwas = '123' "
mySQL = "INSERT INTO KIS_Protocol ( SQL_Befehl ) VALUES ( ?sQuery )"
retcd = SQLEXEC(gnConnHandleKnG, mySQL)

wenn ich das analog in PHP versuche, klappt das mit der Variablen "?sQuery" nicht.

$sQuery = "Select * from meineTabelle where Irgendwas = '123' ";
$sQuery = str_replace("'",'"',$sQuery);
$sInsertBef = "INSERT INTO KIS_Protocol ( SQL_Befehl ) VALUES ( ?$sQuery )";
$sInsertAbfrage = odbc_exec($gupta_connect, $sInsertBef);

Wenn ich das ausführe, steht in dieser Variablen "$sInsertBef ":
INSERT INTO KIS_Protocol ( SQL_Befehl ) VALUES ( ? Select * from meineTabelle where Irgendwas = "123"  );

Die Variable wurde aufgelöst.

Wie erreiche ich, daß die Variable nicht aufgelöst wird ??

Hoffe, ich konnte mich verständlich ausdrücken.

Gruß Harro

Zitat von SniperSister

Du suchst prepared statements

Hallo SniperSister,

hab mit dem Prepared Statement getestet.

Der odbc_Prepare und odbc_Execute sind formal ok.

Wenn ich das Fragezeichen im Statement drin habe, bekomme ich die Meldung:

"<[Microsoft][ODBC Driver Manager] Der Treiber unterstützt diese Funktion nicht" (komischerweise in Deutsch)

Wenn ich das Fragezeichen im Statement durch zwei Hochkommas ersetze, laufen die Befehle technisch, der Insert funktioniert.

Irgendwie seltsam.

                $sInsertBef  = "
                    insert into KIS_Protocol 
                        (
                        KIS_Firma,
                        KIS_User,
                        KIS_TimeStamp,
                        KIS_Nachricht,
                        SQL_Felder,
                        SQL_Where,
                        AntwortZeitZaehl,
                        AntwortZeitDaten,
                        KIS_Zaehler,
                        KIS_Anz_Records    
                        ) values ( 
                         $wkisFirma,
                        '$wkisUser',
                        '$InsertDatum',
                        '$sNachricht',
                        ?,
                        ?,
                        '$Zaehldauer',
                        '$datendauer',
                         $Anzahl,
                         $Anzahl 
                        )
                    ";
                //*****************************************************************************************
                $stmt    = odbc_prepare($gupta_connect, $sInsertBef);
                echo "<BR>Prepare: >" . $stmt . "<"; 
                $a = $sQueryCh;
                $b = $sQueryCh;
                $success = odbc_execute($stmt, array($a,$b));
                echo "<BR>Execute:  >" . $success . "<"; 
                //*****************************************************************************************

"<[Microsoft][ODBC Driver Manager] Der Treiber unterstützt diese Funktion nicht" (komischerweise in Deutsch)

Die Meldung in Deutsch deutet darauf hin, daß der Fehler NICHT vom SQLBase ODBC-Treiber erzeugt wird.

Alle ODBC-Fehler von SQLBase sind in Englisch.

Die Meldung kommt scheinbar vom "<[Microsoft][ODBC Driver Manager]"

Mit einer anderen Programmiersprache (Visual FoxPro) auf diesem Rechner, funktioniert der Insert mit "?".

Könnte das Problem an meiner Joomla-Version (3.5.1) liegen?

Gruß Harro

Zitat von Dudlhofer

Ja. Warum fährst Du noch mit dieser Uralt-Version? Das ist gefährlicher Leichtsinn.

Ich habe da leider keinen Einfluß drauf.

Der Admin bekommt die aktuelle Version nicht ans Laufen.

Hab da jetzt noch mal Druck gemacht.

XAMPP Control Panel v 3.0.12 [ Compiled: June 24th 2012]

Scheint auch nicht das Neueste zu sein

Dudlhofer: Bist du sicher, daß das an der Version liegt? ( auf "könnte", paßt ein "Ja" natürlich meist. )

Gruß Harro

Der Admin hat mir versprochen erneut den Upgrade zu versuchen.

Konnte das Problem nun endlich lösen.

Nach einer Stunde Spaziergang und von vorne anfangen.

Eigentlich bin ich mir nahezu sicher, daß ich genau DAS am Anfang auch versucht habe.

Egal, nun kann das nächste Problem kommen.

//*****************************************************************************************
// Insert aufbereiten.
insert into KIS_Protocol 
      (
      KIS_Firma,
      KIS_User,
      KIS_TimeStamp,
      KIS_Nachricht,
      SQL_Felder,  <== MEMO-Feld (LONG VARCHAR)
      SQL_Where,   <== MEMO-Feld (LONG VARCHAR)
      AntwortZeitZaehl,
      AntwortZeitDaten,
      KIS_Zaehler,
      KIS_Anz_Records    
      ) values ( 
       $wkisFirma,
      '$wkisUser',
      '$InsertDatum',
      '$sNachricht',
      '$sFELDERCh',  <== MEMO-Feld
      '$sWHERECh',   <== MEMO-Feld
      '$Zaehldauer',
      '$datendauer',
       $Anzahl,
       $Anzahl 
       )
       ";
//*****************************************************************************************
// EXEC ausführen
$sInsertAbfrage = odbc_exec($gupta_connect, $sInsertBef);
odbc_exec($gupta_connect,'Commit');
//*****************************************************************************************

Zitat von SniperSister

Ich hoffe sehr dass du die values vorher escapest, sonst hast du dir da gerade eine sql Injection Lücke gebaut - prepared statements verhindern genau das und sind daher die schönere Lösung

Weiß nicht was das ist "value escapen".

Kannst Du mir das sagen?

Ein "prepared Statement" habe ich leider nicht ans Laufen bekommen.

Hab jetzt 1 1/2 Tage trial & error an diesem Statement gemacht.

Hi,

Habe eben mal nach "escapen" gesucht aber nichts (für mich) verständliches gefunden.

Mir ist auch das Problem nicht klar und auch nicht was man genau escapen muß.

Hast Du evtl einen Link wo man darüber mehr erfahren kann?

Die Single-Quotes hatte ich bereits ersetzt. Ist es das was Du meinst?

Ich mußte das machen, weil ich sonst die SELECT-Statements nicht speichern konnte.

$sQueryCh = str_replace("'",'"',$sQuery);

Gruß Harro