Hello,
Ausserdem stelle ich mir die Frage wie die Datenbank (unabhängig vom Hersteller oder von der Version) beispielsweise auf folgendes Statement reagiert:
UPDATE tabelle SET
numeric1 = '1test';
numeric2 = 'test'
WHERE id = '123test';
Probier es aus und tel es hier mit!
Das dürfte noch mehr Leute interessieren.
Eine Maskierung reicht gegen Injektionsgefahr nicht aus.
Nur Anführungszeichen helfen da auch nicht:
Das habe ich auch nicht behauptet. Ich maskiere grundsätzlich
$numeric = "1', secret='0";
$numeric = "1', secret='0"; # wo bitteschön
$id = "123' OR id > '-999999";
$id = "123' OR id > '-999999"; # ist hier noch nein Problem
... außer, dass es natürlich Fehlermeldungen oder keine Ergebnisse gibt.
Nochmals: Kann mir irgendjemand _wirklich_ gute Gründe für diese Vorgehensweise nennen?
Liebe Grüße aus http://www.braunschweig.de
Tom
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen