Hi Leute,

ich muß aus einer Website ein mühsam zusammengebautes SELECT-Statement an die näxte weitergeben - da laufen vorher einige viele Routinen Fuzzy-Logic und so weiter - schlußendlich erhalte ich ein SELECT-Statement das die Gewünschte Ausgabe bringt - gebe ich jetzt das Statement an die Nachfolgende Seiten weiter (die dieses Statement auch brauchen), so hab ich doch eine Sicherheitslücke geöffnet. Da die folgenden PHP-Skripte das Statement auch ausführen. So könnte sich ja jeder meiner Datenbank bemächtigen.

Also übergebe ich nur den Teil hinter dem 'WHERE' und überprüfe ob das Statement ein ';' enthält (weil von mir aus ist keins drin!).

Reicht das?

Wie macht Ihr sowas? Das ganze Datenbankresult per URL übergeben? Oder ist das der Pkt. wo ich komplett auf eine Sessionmanagmentsystem umstellen muß?

Für eure Vorschläge dankend. Robert Krüger