Mailinglisten-Archive |
Moin, ich bekomme ein FORM von einer anderen HTML-Seite und will verhindern, daß jemand fiese SQL-Statements in die dort aufgeführten Felder packt und meine DB knackt. Reicht es, aus den übergebenen Variablen Steuerzeichen wie "\n\r\b\t\`" zu filtern? Semikola, Anführungszeichen usw. muß ich zulassen, sonst steigen mir die User aufs Dach ... Das INSERT Statement packt sowieso alle Variablen in "'"s: $sql = "INSERT into $table (...) WHERE ( var1='$var1', ...) "; Oder hab ich da jetzt noch was übersehen? Oder kann ich wegen "'" die Sonderzeichen-Prüfung ganz weglassen? -- ciao, Jens (mailaddr im Header) http://www.pinguin.conetix.de "Schiebe nie etwas auf Boshaftigkeit, was http://www.hitch-hiker.de ausreichend durch Dummheit erklärt werden kann." http://www.linuxfaq.de
php::bar PHP Wiki - Listenarchive