Hi, danke für die Hilfe!
Wäre das so schon ausreichend gesichert oder muss ich das anders machen?
Anders. Verwende nur die für Postgres vorgesehenen Maskierfunktion pg_escape_*(), vor allem pg_escape_string() und pg_escape_literal().
Wäre dann sowas o.k.?
if (isset($_GET['service']) && $_GET['service'] != "") {
$getservice = pg_escape_string($_GET["service"]);
$sqlString = "SELECT * FROM mytab WHERE service ='".$getservice."'";
$result_service = pg_query($dbconn , $sqlString) or die('Connection failed (pg_query): ' . pg_last_error());
}
Hans