Servus Sven,

PDO hilft kein bißchen gegen SQL-Injections.

Das ist nicht nur irreführend, sondern komplett falsch.

Man muß immer noch wissen, was man da tut.

Genau deswegen. Das hat nichts mit PDO selbst zu tun. Es bietet ideale Bedingungen.

Wichtig ist, dass keine Sicherheitslücken, insbesondere durch SQL Injections möglich sind.

Daran gibt es nichts zu meckern!

Nutze dafür am besten PDO (wenn du mit PHP arbeitest).

Dafür ist PDO am besten geeignet, aus meiner Sicht. Mehr steht da nicht. Es ist das Empfehlenswerteste. Er kann es auch mit mysql_real_escape_string machen, gerne. Vll. noch in Verbindung mit sprintf und anderem Krimskrams. Es steht nirgends, dass PDO sicher ist, wenn es falsch verwendet wird, denn dann lässt sich fast jede hier bisher auf selfhtml getätigte Aussage kritisieren. Wenn ich aber PDO verschlage, gehe ich davon aus, dass der jenige sich im Vorfeld richtig informiert. Und dann wird derjenige auch sofort die Vorteile von PDO kennenlernen und darauß erkennen, warum es am "besten" dafür geeignet ist. Anwenderfehler gibt es immer, dafür kann das PDO nichts und meine Aussage auch nicht.

Man muß immer noch wissen, was man da tut.

Eben deshalb. ;-)

Ganz nebenbei, wenn ich gerade mit dir hier im Gespräch bin. Du hast nicht zufällig eine gute Seite, die gängige Fehler bei der Verwendung von PDO beschreibt (bzw. ein sehr gutes Tutorial zu dem Thema), das du hier als Hinweis posten könntest? So Sachen mit fehlgeschlagener Verbindung kenne ich zwar, aber andere gängige Fehler würden mich auch interessieren, wenn du damit z.B. schonmal Erfahrung gesammelt hast.

lg,
Rowland