Rolf B: Vor und Zurück Buttons erstellen (varX+1)

Beitrag lesen

Hallo Felix,

dein Kontextwechsel-Argument ist im Allgemeinen gültig, führt hier aber ein wenig in die Irre. Arne beschreibt keine Verarbeitung von User-Daten im SQL, sondern die Ausgabe von HTML basierend auf DB-Inhalten. Wenn also Kontextwechsel, dann von "fachlicher Text nach HTML", also für den Umstand, dass eine ID HTML Symbole enthält. Es sollte demnach ein htmlspecialchars($row['ID']) Aufruf erfolgen.

Das Code-Stück, mit dem die Details gelesen werden, hat Arne nicht gezeigt. Dort wäre der von Dir skizzierte DROP TABLE Angriff möglich, und dort muss der entsprechende escape-Aufruf erfolgen oder mit parameter binding gearbeitet werden. Wir wissen nicht, ob das bereits passiert, aber ich würde annehmen, dass deine Warnung an dieser Stelle nötig war.

Zum fachlichen Vorschlag: sicherlich kann man sich eine Liste sämtlicher IDs beschaffen; das setzt aber eine vollständige Lektüre der Seminartabelle voraus. Das würde ich mal vorsichtig als Performancerisiko betrachten, wenn es viele Seminare gibt. Ermitteln von direktem Vorgänger und Nachfolger unter einer bestimmten Sortierreihenfolge ist in SQL mühsam, aber machbar und mit entsprechendem Index auch performant. Siehe meinen Vorschlag.

Rolf

--
sumpsi - posui - clusi