Mailinglisten-Archive |
> -----Original Message-----
> From: php-bounces at phpbar.de [mailto:php-bounces at phpbar.de] On
> Behalf Of Christoph Rust
> Sent: Thursday, June 23, 2005 11:31 AM
> To: deutschsprachige PHP-Mailingliste
> Subject: [php] Überprüfung des Inhalts
>
> Morgen Leutz!
>
> Mal ne Frage...
> Ist es nicht sinnvoll, einen Inhalt, der später als Variable in einem
> SQL-Command endet, auf Gültigkeit (z.B. Sonderzeichen) zu überprüfen?
> Zum Beispiel denke ich daran, dass wenn der Inhalt ein ' (Hochkomma)
> enthält, die Query ja scheitern könnte, bzw. bei Mulitquerys ganze
> Tabellen verändert/gelöscht werden könnten.
>
> Bietet PHP hier eine Möglichkeit den Inhalt zuvalidieren, jedoch ohne
> Regular Expressions?
>
Eine Möglichkeit wäre hierbei die Funktion addslashes() zu verwenden. Sicherer ist aber im Fall von MySQL noch mysql_real_escape_string().
Für Oracle gibt es aber glaube ich keine Funktion... Da geht nur IMHO ein Konstrukt wie $query=str_replace("'", "''", $query);
Greetz,
Markus
php::bar PHP Wiki - Listenarchive