Tach!

ich bin derzeit dabei, meine webdev-skills ein bisschen zu verbessern, indem ich mich etwas mehr mit Query-Security bzw. SQLInjection-Protection beschäftige.

Die eigentliche Thematik ist, Querys syntaktisch korrekt zu formulieren. Denn auch ohne Injection vorzuhaben, erzeugen bestimmte Werten, die nicht richtig an der jeweiligen Stelle eingetragen werden, Syntaxfehler und damit eine Fehlfunktion im Programm. Dass man diese Fehlfunktionen gezielt ausnutzen kann, um ungewünschte Dinge auszuführen ist da quasi nur ein Nebenprodukt. Sicheres Programmieren ist nicht nur eine Frage der Sicherheit, sondern der, ein korrekt laufendes Programm zu erstellen.

Das ist eine generelle Problematik, die sich nicht auf SQL beschränkt, sondern immer beachtet werden muss, wenn Code und Daten zusammengeführt werden müssen. Siehe Kontextwechsel.

Nun habe ich über Google 2 Möglichkeiten gefunden: PDO und MySQLi.

Welche davon würdet ihr bevorzugen/empfehlen? Warum?

mysqli empfehle ich nur noch, wenn spezielle Fähigkeiten dieser API benötigt werden, also üblicherweise nicht. PDO ist verwenderfreundlicher, besonders was die Übergabe von Werten an Prepared Statements anbelangt.

dedlfix.