Hallo Forum,

ich möchte einen String prüfen.

Der String enthält eine in mysql5 einzusetzende Query.

Da es unnötig ist, irgendetwas anderes als eine SELECT-Query zuzulassen, möchte ich alles, was nicht einem reinen SELECT entspricht, auch nicht zulassen.

Reicht es dazu aus, zu prüfen, ob die ersten 6 Buchstaben "SELECT" enthalten? Was wäre aber dann mit eventuellen Subqueries, die zwar mit "SELECT" beginnen, aber danach Schaden verursachen könnten?

Wie würdet Ihr alles außer einem einfachen "SELECT" sperren?

Grüße, Richard