Hi,

kurz eine frage zum absichern von SQL Abfragen.
Angenommen es gibt eine Tabelle "usertab" in der eine UserID vorkommt,
Ich lese die UserID mittels Prepared Statements aus.

[...]

Müsste ich jetzt um ganz sicher zu gehen diese zweite Select Abfrage auch wieder mit Prepared Statements machen, oder kann da eigentlich nichts passieren?

ich lasse diesen speziellen Fall mal außer Acht - bei einer ID aus der Datenbank kann nicht wirklich was schief gehen[1]. Aber verallgemeinern wir mal das ganze: Du holst Daten aus der DB und schmeißt diese in ein SQL-Statement.

Wer garantiert Dir, dass die Daten, die Du ausgelesen hast, dem entsprechen, was Du darin vermutest?

Es gibt genügend Fälle der SQL-Injection, um ein gesundes Misstrauen auch den "eigenen" Daten gegenüber zu rechtfertigen.

Cheatah

[1] Ich frage mich nur, warum Du nummerische Werte als String verpackst und so die Datenbank erst mal zu einem Typecast zwingst.