Mailinglisten-Archive |
Hi Yannik, Am Dienstag, 3. Oktober 2006 13:43 schrieb Yannik Hampe: > Den Tabellennamen auf diese Weise zu übergeben halte ich für keine > gute Idee. Also sicherheitstechnisch. Dann da kann man das Skript > dazu bringen über ganz andere Variabeln zu iterieren, die es nicht > soll. das passiert aber nur, wenn man die übergebenen Daten nicht prüft. :-) So gesehen ist jede Datenübergabe sicherheitstechnisch keine gute Idee. ;-) > Ausserdem bekommst du ein Problem, wenn sich der Tabellenname > zufällig mit irgendeinem anderen Varname schneidet. Besser ein fest > Varname, statt einen dynamischen... Das kann Dir nur passieren, wenn Du register_globals auf OFF hast, und das wäre in der Tat sicherheitstechnisch keine gute Idee. Dafür, daß die Feldnamen im Formular eindeutig sind, mußt man ohnehin immer Sorge tragen. Sonst gibt es halt unerwünschte Ergebnisse. :-) > Und warum Andreas da jetzt ursprünglich versucht hat auf diese voll > dynamische Weise zuzugreifen ist immernoch nicht klar :-(. Ich denke, daß Problem war, daß er es nicht voll dynamisch versucht hat. Er hat da mit den Feldnamen manuell eingegriffen. Daher kamen dann vermutlich die Komplikationen. Ich denke, wenn er es vollständig dynamisiert, sieht er auch kein Problem mehr. Viele Grüße Lutz
php::bar PHP Wiki - Listenarchive