hi,

Die Sortierreihenfolge ist aus meiner Sicht aber kein Datum, sondern Teil des Querys. Also hilft das nicht viel.

Ja, das stimmt auch wieder.
Stimmt schon, hier wäre ein Array mit allen erwarteten Werten wohl das Sinnvollste.

Abgesehen davon hatte ich bislang den Eindruck, Prepared Statements sind vor allem dann sinnvoll, wenn die Absicht besteht, mehr als einen gleichartigen Query durchzuführen. Also beispielsweise massenhaft INSERTs oder UPDATEs.

Ich nutze Prepared Statements derzeit wegen der erhofften Sicherheit.

Filtern ist toll. Nur: Was bleibt hängen, und was kommt durch deinen Filter durch?

Alles was ich für Sinnvoll halte kommt durch, wenn die Möglichkeit besteht, nutze ich ein Array, dass alle erlaubten Zeichen, Wörter oder Werte bereithält, die ich erwarte.

Ein Beispiel aus meiner Seite:

  
  /**  
    * $_SERVER['REQUEST_URI'] von $_GET-Variablen befreien um Aktuellen Path zu haben  
  */  
  $mein_server_request = preg_replace('|\?.+$|', '', $_SERVER['REQUEST_URI']);  
  
  $query_request_check =  
  (  
     (!preg_match("#http|include|<|>|%3C|%3E|%22|ftp|:|script#", $_SERVER['REQUEST_URI']))  
    AND  
     (strlen($_SERVER['REQUEST_URI']) > 0 && strlen($_SERVER['REQUEST_URI']) < 90)  
  )  
     ? $mein_server_request  
     : 'Start' ;

Das Ergebnis jage ich dann mittels Prepared Statement durch meine Datenbank.

holla holla