phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] Code sparen - $_POST['$var']?

Sebastian Mendel lists at sebastianmendel.de
Die Feb 21 09:30:19 CET 2006

Vorherige Nachricht: [php] Code sparen - $_POST['$var']?
Nächste Nachricht: [php] Probleme mit shell_exec
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

Lutz Zetzsche wrote:
> Jürgen Schiller schrieb:
>> Hallo Harald,
>> Genau sowas ist aber empindlich gegen SQL-Injections.
>> Daher nur da anwenden, wo der Benutzerkreis klein ist.
> 
> falsch!!! :-) GAR NICHT ERST ANGEWÖHNEN!
> 
> Außerdem ist es meistens so, daß dann doch mehr draus wird - und dann 
> hast Du plötzlich ein Sicherheitsloch plus einen großen Benutzerkreis. 
> Hinzukommt, daß wenn die Anwendung über das Internet prinzipiell frei 
> zugänglich ist, daß die Größe des Benutzerkreises gleichgültig ist. Wenn 
> jemand die Website erwischt und das Loch findet, ist es passiert. :-)

die zwei meinen du solltest es in etwa so verwenden:

for ($i = '1'; $i <= '48'; $i++) {
     $sql = '
         UPDATE `spiele`
            SET `s_ergebnis_a` = \'' . 
mysql_real_escape_string($_POST['s_ergebnis_a_' . $i]) . \''
          WHERE `s_id` = ' . $i . '
          LIMIT 1';
}


-- 
Sebastian Mendel

www.sebastianmendel.de
www.sf.net/projects/phpdatetime | www.sf.net/projects/phptimesheet

Vorherige Nachricht: [php] Code sparen - $_POST['$var']?
Nächste Nachricht: [php] Probleme mit shell_exec
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive