Opened by olruebe01 at 2006-03-27 11:02
User since
2004-06-17
305 Artikel
BenutzerIn
![[default_avatar]](/battie/theme/default/default_avatar.gif)
2004-06-17
305 Artikel
BenutzerIn
[quote=master,27.03.2006, 11:59]select bla bla.... where item = 1; DELETE
FROM 'blacklist' --[/quote]
Hallo Master,
ich möchte Dir zustimmen bei Deiner Meinung, dass man nie direkt Variablen aus Formularfeldern ungeprüft in das SQL-Statement übernimmt.
Aber ist es bei DBI (1.50) nicht so, dass sowieso nur der erste Teil des SQL-Statements ausgeführt wird und alles nach dem Semikolon ignoriert wird?
Somit besteht also die von Dir geschilderte Gefahr, dass jemand einen weiteren SQL-Zweig ins Formular einträgt der dann mit ausgeführt wird, nicht (bei Verwendung von DBI). Oder habe ich das falsch verstanden?
FROM 'blacklist' --[/quote]
Hallo Master,
ich möchte Dir zustimmen bei Deiner Meinung, dass man nie direkt Variablen aus Formularfeldern ungeprüft in das SQL-Statement übernimmt.
Aber ist es bei DBI (1.50) nicht so, dass sowieso nur der erste Teil des SQL-Statements ausgeführt wird und alles nach dem Semikolon ignoriert wird?
QuoteMultiple SQL statements may not be combined in a single statement handle ($sth), although some databases and drivers do support this (notably Sybase and SQL Server).
Somit besteht also die von Dir geschilderte Gefahr, dass jemand einen weiteren SQL-Zweig ins Formular einträgt der dann mit ausgeführt wird, nicht (bei Verwendung von DBI). Oder habe ich das falsch verstanden?