Du übergibst unsanitisierte Variablen an SQL? Happy injection time!Zitat von Merovinger
Du übergibst unsanitisierte Variablen an SQL? Happy injection time!
Ich spreche von Maßnahmen wie mysql_escape_string. Damit dir nicht das passiert.
Ich rate lieber zu mysql_real_escape_string, da hier auch die aktuelle Zeichenkodierung berücksichtigt wird. Das ist vor allem dann nett, wenn man mit PHP 5.2.3+ arbeiten kann, da dann auch mysql_set_charset zur Verfügung steht.
Wenn wir von idealen Funktionen sprechen würde ich eh zu mysqli->real_escape_string raten. Die mysqli-Erweiterung ist der alten mysql-Erweiterung voraus; man muß nur sicherstellen, daß der Hoster sie auch unterstützt.
Mit mysqli kriegst du auch lustige Funktionen wie mysqli->prepare/mysqli->stmt_bind_param, mit denen du Typsicherheit in deine Abfrage kriegst. Und Unterstützung für Transaktionen und Rollbacks. Und allgemein Unterstützung für MySQL-Features, die neuer sind als Oktober 2004.
Geändert von Jesus_666 (18.11.2007 um 13:07 Uhr)
Berechtigungen
Zitieren