Moin!

Dieses listet allerdings auch wieder noch nicht direkt auf, wie man SQL Injection konkret in PHP verhindert - dazu braucht es einerseits das Wissen, welche Datenbank verwendet wird, und zweitens dann dazugehörig das Wissen, wie man in PHP mit dieser Datenbank Escaping oder Stored Procedures verwendet.

Kleine Korrektur: Du meintest vermutlich Prepared Statements statt Stored Procedures. Letztere wären kein "oder" zum Escaping.

Ja, ich meinte Prepared Statements - also das, von dem viele reden, als wäre es die ultimative Waffe gegen SQL-Injection, und die dabei vergessen, dass man damit eben leider längst nicht alle Queries realisieren kann, oder alternativ trotzdem Injection-Probleme bekommt.

- Sven Rautenberg