Hallo SELFHTML-Gemeinde,

Ich greife mittels Perl und dem DBI-Modul auf eine SQL-Datenbank zu und muss mich folglich auch mit dem Thema SQL-Injections beschäftigen. Wikipedia sagt dazu:

"Das datenbankunabhängige Datenbankmodul DBI unterstützt [zur Verhinderung von SQL-Injections] eine „prepare“-Syntax [...].

  
$statementhandle = $databasehandle->prepare("SELECT spalte1 FROM tabelle WHERE spalte2 = ?");  
$returnvalue = $statementhandle->execute( $spalte2Wert );  

~~~"  
  
Kann ich mit dieser Maßnahme eine über $ENV{'QUERY\_STRING'} ausgelesene Variable unbehandelt in das SQL-Statement einfügen oder sollte ich vorher noch weitere Vorsichtsmaßnahmen beachten?  
  
  
Ciao,  
David //aka DeWitt

-- 
[selfcode](http://community.de.selfhtml.org/fanprojekte/selfcode.htm) ie:% fl:( br:< va:) ls:} fo:| rl:( n4:° ss:) de:] js:| ch:] sh:( mo:| zu:(  
  
<< Life is just a moment in eternity, yet every life echoes there >>