Moin!

Du hast keinerlei Escaping in deinem Code! Viva la SQL-Injection!

Wie willst du mir in einem mit HTACCESS geschütztem Bereich, auf den man zusätzlich nur mit einer auf dem Server registrierten IP (bedeutet du musst eine feste IP haben, welche ich registrieren muss) in einem SELECT, welcher nur Daten aus der Session bzw. einem Array entgegennimmt, eine SQL-Injection verpassen?

Überall WO es notwendig ist arbeite ich mit mysql_real_escape_string.

Es ist ÜBERALL notwendig.

Warum Ausnahmen machen? Warum drüber nachdenken, ob der Bereich durch anderweitige Maßnahmen, die auch mal scheitern können (unachtsam deaktiviert etc.) oder diesen durch Kopieren von Code in einen ganz anderen Bereich verlassen, "gesichert" ist.

Wenn man sich als professionellen Programmierer sieht, hat man solche Ausreden nicht nötig, wie du sie hier gerade anbringst. Sicherheit ist nie "optional" oder "gerade hier nicht notwendig".

- Sven Rautenberg