ich wollt mich mal bei euch erkundigen, wie ihr das altbekannte SQL Injection-Problem löst.
Ich persönlich bevorzuge PDO (Seit php 5.? automatisch aktiviert).
$user = "Dein Username"; $pass = "Dein Passwort"; $pdo = new PDO("mysql:host=localhost;dbname=test", $user, $pass); if(!$pdo) die("Keine Verbindung!"); $db = $pdo->prepare("SELECT * FROM users WHERE loginname = :name;"); $db->bindValue(':name',"irgendwas"); $db->execute(); $fetch = $db->fetch(); // mysql_fetch_array : $fetch[‘var’];
Die If kannst du natürlich auch durch ein Try - Catch ersetzen und dann eine PDOException werfen.
Wie löst ihr denn das Problem? Regex? Explizit auf Zahlen prüfen? ";" im String suchen und entfernen?
Dieser Beitrag wurde von CryztaN bearbeitet: 27. September 2011 - 07:30