Tom: Sql-Abfrage mit php-Variabler

Beitrag lesen

SELF-Forum

Sql-Abfrage mit php-Variabler

Tom Homepage des Autors
Informationen zu den Bewertungsregeln

Hello,

$sql = "SELECT * FROM table WHERE blabla = '". $var ."' ORDER BY xyz"
3. $sql = "SELECT * FROM table WHERE blabla = '$var' ORDER BY..."

Beide Varianten scheinen richtig zu sein, sind es aber vermutlich nicht. Sie sind anfällig gegen SQL-Injection, falls dagegen nicht an anderer Stelle Maßnahmen ergriffen worden sind.

Auch wenn der Wert nicht von außen käme, wären sie immer noch anfällig gegen schädliche Daten, denn die Variable wird ja vom Parser ersetzt, bevor die Übergabe an die SQL-Schnittstelle stattfindet. Wenn nun x-beliebige Daten in $var stehen können (z.B. ein Bild), dann zerschießt dies höchstwahrscheinlich das SQL-Statement.

https://forum.selfhtml.org/?t=171572&m=1123378

Ein harzliches Glückauf

Tom vom Berg

--
Nur selber lernen macht schlau
http://bergpost.annerschbarrich.de
Beitrag melden
Informationen zu den Bewertungsregeln
0 18

Sql-Abfrage mit php-Variabler

heinzi
  • datenbank
  1. 0
    Patrick
    1. 0
      heinzi
      1. 0
        Jaroslav Jablonski
        1. 0
          heinzi
          1. 0
            Blizzz
            1. 0
              heinzi
          2. 0
            Vinzenz Mai
          3. 0
            Jaroslav Jablonski
            1. 0
              dedlfix
              1. 0
                heinzi
                1. 0
                  dedlfix
                  1. 0
                    heinzi
                    1. 0
                      dedlfix
                      • php
              2. 0
                Jaroslav Jablonski
      2. 0
        dedlfix
    2. 0
      dedlfix
      1. 0
        Tom