phoku
30-11-2005, 15:14
Hallo,
ich schreibe gerade an einer Applikation, bei der es sich lohnt SQL-Injections zu verhindern. Kann mir jemand einen Rat geben, welche Methoden die besten sind?
Bisher gucke ich in jede Variable, die vom User kommt wie folgt rein:
/*
* string auf sql-injection prüfen
*/
function getInp($s) {
/* leerzeichen vorne und hinten löschen */
$s = trim($s);
/* stripslashes, falls nötig */
if (get_magic_quotes_gpc()) {
$s = stripslashes($s);
}
$s = mysql_real_escape_string($s);
return $s;
}
mfg
phoku
ich schreibe gerade an einer Applikation, bei der es sich lohnt SQL-Injections zu verhindern. Kann mir jemand einen Rat geben, welche Methoden die besten sind?
Bisher gucke ich in jede Variable, die vom User kommt wie folgt rein:
/*
* string auf sql-injection prüfen
*/
function getInp($s) {
/* leerzeichen vorne und hinten löschen */
$s = trim($s);
/* stripslashes, falls nötig */
if (get_magic_quotes_gpc()) {
$s = stripslashes($s);
}
$s = mysql_real_escape_string($s);
return $s;
}
mfg
phoku