dedlfix: Problem mit PHP Code

Beitrag lesen

Tach!

die Daten kommen aus einer anderen DB Abfrage, deswegen erwarte ich, dass sie bereits plausibilisiert und vom Schabernack der Nutzer befreit sind. Deswegen auch meine Forderung nach einer fachlich sinnvollen Typisierung von Datenbankspalten. In eine INT oder DECIMAL Column bekommst Du keine SQL Injection hinein.

Gut, das wäre zumindest bei den Zahlen ein Vertrauenskriterium, solange man sicherstellt, dass der Feldtyp der vorhergehenden Abfrage ein Zahlentyp ist. Aber muss man dann überhaupt den Wert über PHP schleifen? Da würde ich doch viel lieber bei umfangreichen Befehlsabfolgen eine Stored Procedure nehmen. Und eine Transaction drumherum, um im Fehlerfall halb durchgeführte Änderungen zu vermeiden.

Beim Usernamen, beziehungsweise Strings im Allgemeinen, bleibt aber die Notwendigkeit der korrekten Maskierung.

dedlfix.