Thread Sichere MYSQL-DB Abfrage
(15 answers)
Opened by Gast at 2003-10-20 19:30
Zusammenfassung:
quotemeta ist dazu da, um Zeichen in Strings zu schuetzen, die sonst eine Sonderbedeutung haetten (wie z.B. bei Regulaeren Ausdruecken). Es ist nicht fuer Datenbanken oder andere Sachen geeignet. Sonderzeichen in HTML: $cgi->escapeHTML($string); Sonderzeichen in SQL: $dbh->quote($string); # achtung: fuegt ' an Anfang und ende dazu oder: mit Platzhaltern arbeiten (siehe DBI) wenn dieses "Problem" unter PHP nicht existiert, dann hat PHP entweder eine ziemliche Sicherheitsluecke, oder einen Mangel an Funktionalitaet, weil man sich SQL-Statements nicht selbst zusammenbauen kann; und ich kann beides nicht glauben... perl -le "s::*erlco'unaty.'.dk':e,y;*kn:ai;penmic;;print"
http://www.fabiani.net/ |