nicht angemeldet
Moin
mal ne Frage zu SQL-Injection.
Angenommen ich habe eine Seite, die wie folgt aufgebaut ist. Es wird per GET eine Variable ID übergeben, welche für einen MySQL-DB-Aufruf genutzt wird.
Select * FROM Tabelle WHERE ID='$_GET['ID']'
Wie kann ein potentieller Hacker nun mittels SQL_Injection eingreifen? Wie und welche Schutzmechanismen kann man hier einbauen?
PS: derzeit versuche ich mit Select * FROM Tabelle WHERE ID='addslashes(htmlentities(htmlspecialchars($_GET['ID'])))' Codeeinspeisung zu verhindern. Ist dies der richtige Weg?
Gruß Bobby
--
-> Für jedes Problem gibt es eine Lösung, die einfach, sauber und falsch ist! <-
-> Nicht das Problem macht die Schwierigkeiten, sondern unsere Sichtweise! <-
ie:{ br:> fl:{ va:} ls:< fo:) rl:( n4:( de:> ss:) ch:? js:( mo:} sh:) zu:)
-> Für jedes Problem gibt es eine Lösung, die einfach, sauber und falsch ist! <-
-> Nicht das Problem macht die Schwierigkeiten, sondern unsere Sichtweise! <-
ie:{ br:> fl:{ va:} ls:< fo:) rl:( n4:( de:> ss:) ch:? js:( mo:} sh:) zu:)