Mailinglisten-Archive |
> > ist es bei PHP eigentlich möglich mehrere Anfragen in eine Query zu > packen > > (also sowas wie xxx_query("insert into...; select ..."). Bei mysql > scheint > > das nicht zu gehen, wie sieht das bei anderen DB aus ? > > http://www.koehntopp.de/php/faq-15.html#ss15.6 Alles klar, danke.... nächstesmal werde ich selber lesen, versprochen :-) > > Wenn das geht, wäre das etwas problematisch, weil man so durch > Manipulation > > der Parameter in der URL beliebige Anfragen stellen könnte (z.B. DROP > > DATABASE ...), wenn das Skript nicht jeden Parameter vor der > Verwendung > > überprüft. Meistens ist es ja so, das die Parameter direkt in die > Anfragen > > übernommen werden. > > wenn du deinem sql-user die rechte dafür einräumst bist du selbst > schuld... War ja nur ein Beispiel. DELETE, INSERT, ALTER, usw. wird von jedem Skript aus möglich sein (auf die entsprechenden Tabellen) ... Ich bin vieleicht etwas zu paranoid, aber die Ansicht "naja, in meinen URLs wird schon keiner manipulieren, warum soll ich die Parameter extra nochmal überprüfen" ist halt weit verbreitet. Unter 1000 Besuchern gibt es garantiert einige, die aus Spass mal ein paar Parameter ändern, um zu schauen, ob der Programmierer auch wirklich aufgepasst hat. Gerald.
php::bar PHP Wiki - Listenarchive