AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Programmieren allgemein [PHP] MySQLi und escapen von Zeichenketten
Thema durchsuchen
Ansicht
Themen-Optionen

[PHP] MySQLi und escapen von Zeichenketten

Ein Thema von Matze · begonnen am 4. Feb 2010 · letzter Beitrag vom 4. Feb 2010
Antwort Antwort
Benutzerbild von Matze
Matze
(Co-Admin)

Registriert seit: 7. Jul 2003
Ort: Schwabenländle
14.929 Beiträge
 
Turbo Delphi für Win32
 
#1

[PHP] MySQLi und escapen von Zeichenketten

  Alt 4. Feb 2010, 07:53
Hallo zusammen,

bisher nutzte ich in PHP die "klassischen" MySQL-Funktionen und kümmerte mich selbst um das Escapen der Zeichenketten um SQL-Injections zu verhindern.
Ich habe mich nun etwas in MySQLi eingearbeitet. Da nutzt man diese Parameter, wie sie überall bejubelt werden.

Muss ich mich dennoch selbst um das Escapen kümmern oder machen das die entsprechenden Funktionen für mich, da der Typ der Werte (String, Integer, ...) vorgegeben wird?

Hier ist mal ein Beispiel-Code. Die Zeichenkette 'de' ist nicht escaped:

markieren
Code:
$this->stmt = $this->db_connection->prepare(
   'SELECT * FROM main_tabs
   WHERE lang = ?
      AND subcat_of = ?
   ORDER BY position ASC');
$this->smt->bind_param('si', 'de', 5);
$this->stmt->execute();
Grüße, Matze
  Mit Zitat antworten Zitat
Benutzerbild von fkerber
fkerber
(CodeLib-Manager)

Registriert seit: 9. Jul 2003
Ort: Ensdorf
6.723 Beiträge
 
Delphi XE Professional
 
#2

Re: [PHP] MySQLi und escapen von Zeichenketten

  Alt 4. Feb 2010, 08:06
Hi!

Allgemein ist das Escapen bei Prepared-Statements nicht mehr nötig. Der Grund des Escapen ist ja der, dass man SQL-Injections verhindern möchte. Bei Prepared-Statements ist das Statement aber schon "fertig", bevor die "Variablen" ersetzt werden.
Somit besteht dieses Risiko nicht mehr.


Grüße, Frederic
Frederic Kerber
  Mit Zitat antworten Zitat
Benutzerbild von Matze
Matze
(Co-Admin)

Registriert seit: 7. Jul 2003
Ort: Schwabenländle
14.929 Beiträge
 
Turbo Delphi für Win32
 
#3

Re: [PHP] MySQLi und escapen von Zeichenketten

  Alt 4. Feb 2010, 08:07
Hallo Frederic,

super, danke. Dann mache ich ja alles richtig.

Grüße, Matze
  Mit Zitat antworten Zitat
Antwort Antwort

« Vorheriges Thema | Nächstes Thema »

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus
Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 00:55 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz