bobby: PHP - Spaltennamen als Parameter an PHP Funktion für SQL Befehl übergeben

Beitrag lesen

Moin,

Darf ich dezent darauf hinweisen, dass hier eventuell ein Scheunentor für SQL-injections gebaut wurde? Besser, wenn man die mysqli-Erweiterung nutzt, ist es, pepeared-Statements zu verwenden. Zumindest sollte die Funktion, so es denn eine Methode ist, entsprechend gekapselt werden. So wie sie da steht ist es m.E.n. eine Sicherheitslücke.

Gruß Bobby

--
-> Für jedes Problem gibt es eine Lösung, die einfach, sauber und falsch ist! <- ### Henry L. Mencken ### -> Nicht das Problem macht die Schwierigkeiten, sondern unsere Sichtweise! <- ### Viktor Frankl ### ie:{ br:> fl:{ va:} ls:< fo:) rl:( n4:( de:> ss:) ch:? js:( mo:} sh:) zu:)