PHP / MySQL

delphirocks · 12.12.2006, 00:05

Sicherer wäre z.B., die neue mysqli Erweiterung zu verwenden.

Also anstatt

PHP-Code:


			
$select_inhalt = "SELECT Inhalt, Autor, Datum, Titel FROM news WHERE id = ".$upid;

lieber

PHP-Code:


			
$query = $mysqli->prepare( "SELECT Inhalt, Autor, Datum, Titel FROM news WHERE id = ?" );

$query->bind_param( 'i',  $upid ); // i für integer

$query->execute( );

Ist zwar lästig, dafür ist man auf der sicheren Seite. Es gibt auch noch ein paar andere Möglichkeiten, um SQL-Injections zu vermeiden, aber Parameter zu verwenden ist (bei anderen Sprachen zumindest) denke ich die gängigste Methode.

Artikel

Nettes Youtube Video eines Live-"hacks":

SQL-Injection

12.12.2006, 00:05	#11
delphirocks bitte Mailadresse prüfen! Registriert seit: 17.03.2002 Beiträge: 198	Sicherer wäre z.B., die neue mysqli Erweiterung zu verwenden. Also anstatt PHP-Code: `$select_inhalt = "SELECT Inhalt, Autor, Datum, Titel FROM news WHERE id = ".$upid;` lieber PHP-Code: `$query = $mysqli->prepare( "SELECT Inhalt, Autor, Datum, Titel FROM news WHERE id = ?" ); $query->bind_param( 'i', $upid ); // i für integer $query->execute( );` Ist zwar lästig, dafür ist man auf der sicheren Seite. Es gibt auch noch ein paar andere Möglichkeiten, um SQL-Injections zu vermeiden, aber Parameter zu verwenden ist (bei anderen Sprachen zumindest) denke ich die gängigste Methode. Artikel Nettes Youtube Video eines Live-"hacks": SQL-Injection

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)