in php ist das nicht notwendig.

frage: löst dein code alle sicherheitsprobleme?
in dem fall mach ich nur noch dieses $dbh -> quote();

gruss
master

[quote=master,20.10.2003, 18:22]was macht denn eval?[/quote]
eval EXPR parst und führt EXPR zur Laufzeit aus.
Es gibt noch eval BLOCK aber das kannst du ja auch selbst nachlesen: perldoc -f eval

Gruß Alex

[quote=master,20.10.2003, 22:36]frage: löst dein code alle sicherheitsprobleme?
in dem fall mach ich nur noch dieses $dbh -> quote();[/quote]
Ich persoenlich bevorzuge die Verwendung von Platzhaltern, aber quote() sollte genauso sicher sein, d.h. ebenfalls zuverlaessig das Injizieren von SQL-Code ueber Parameter verhindern.

Zusammenfassung:

quotemeta ist dazu da, um Zeichen in Strings zu schuetzen, die sonst eine Sonderbedeutung haetten (wie z.B. bei Regulaeren Ausdruecken). Es ist nicht fuer Datenbanken oder andere Sachen geeignet.

Sonderzeichen in HTML: $cgi->escapeHTML($string);

Sonderzeichen in SQL: $dbh->quote($string); # achtung: fuegt ' an Anfang und ende dazu
oder: mit Platzhaltern arbeiten (siehe DBI)

wenn dieses "Problem" unter PHP nicht existiert, dann hat PHP entweder eine ziemliche Sicherheitsluecke, oder einen Mangel an Funktionalitaet, weil man sich SQL-Statements nicht selbst zusammenbauen kann; und ich kann beides nicht glauben...

Ne allgemeine Frage, aber was bringt mir der Einsatz von quotemeta?? Erreiche ich damit mehr Sicherheit im Script und wann sollte ich es einsetzen?

wie gesagt: in kombination mit DBI bringt dir quotemeta nichts. Nur z.B. bei Regulaeren Ausdruecken. Wenn man da eine Variable der Form /$variable/ einbaut, werden eventuelle darin vorkommende Sonderzeichen / \ ( . | - { [ + * ... evaluiert. Wenn man dieses Verhalten unterdruecken will, muss man entweder vor jedes Sonderzeichen einen \ hinzufuegen, oder man laesst es automatisch von qutemeta machen: $variable = quotemeta($variable);
Diese Vorgehensweise verwende ich jedoch nie, sondern ich quote da lieber direkt in der Regex mit \Q...\E, z.b.