phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] sichere MySQL Queries

Lutz Zetzsche Lutz.Zetzsche at sea-rescue.de
Don Nov 9 16:02:07 CET 2006

Vorherige Nachricht: [php] sichere MySQL Queries
Nächste Nachricht: [php] sichere MySQL Queries
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

Am Donnerstag, 9. November 2006 15:56 schrieb Lutz Zetzsche:
> Das ist eben genau der entscheidende Denkfehler... Du mußt jedes Feld
> "escapen". Der Grund ist einfach: Wer garantiert Dir, daß dort, wo Du
> im SQL-Befehl eine Zahl vorgesehen hast, auch eine Zahl ankommt und
> nicht etwa eine eingeschleuste Zeichenkette à la '1 OR 1=1'? Es ist
> ein gravierender Denkfehler, sich nur auf die Textfelder zu
> konzentrieren.

Bzw. ist vor dem "Escapen" grundsätzlich unerläßlich, auch eine 
gründliche Prüfung der einzusetzenden Werte vorzunehmen. Das kam hier 
bisher zu kurz. :-)

Lutz

Vorherige Nachricht: [php] sichere MySQL Queries
Nächste Nachricht: [php] sichere MySQL Queries
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive