Mailinglisten-Archive |
Am Thu, 23 Jun 2005 11:30:58 +0200 schrieb Christoph Rust <christoph.rust at uplink.de>: > Morgen Leutz! > > Mal ne Frage... > Ist es nicht sinnvoll, einen Inhalt, der später als Variable in einem > SQL-Command endet, auf Gültigkeit (z.B. Sonderzeichen) zu überprüfen? > Zum Beispiel denke ich daran, dass wenn der Inhalt ein ' (Hochkomma) > enthält, die Query ja scheitern könnte, bzw. bei Mulitquerys ganze > Tabellen verändert/gelöscht werden könnten. > > Bietet PHP hier eine Möglichkeit den Inhalt zuvalidieren, jedoch ohne > Regular Expressions? da gibt es die funktion addslashes, welches sonderzeiche escaped, damit ein ', ", \ oder ein NULL nicht ein query fehlerhaft werden laesst. wen magic_quotes auf dem server an sind, werden automatisch alle benutzereingaben die via GET oder POST vom Browser an den Server gehen, so gequotet. da musst du vorher pruefen, ob diese direktive an oder aus ist und dann eventuell addslashen oder nicht. dazu musst du natuerlich falls datum oder zahlen eingegeben werden vom anwender, diese natuerlich pruefen, ob es auch zahlen oder ein datum wirklich ist und diese dann entsprechend vorher validieren. ciao Mathias
php::bar PHP Wiki - Listenarchive