Hab's kapiert

Ne, danke euch für all die Infos und ich werde mich damit mal auseinandersetzen. Aber nicht mehr heute, sondern eher morgen

Hallo,

du solltest dir eine Klasse schreiben oder suchen, welche dir den Umgang mit SQL erleichtert. Idealerweise solltest du einen Objektrelationalen-Mapper verwenden, kurz ORM. Damit kann sowas bei richtiger Benutzung prinzipiell nicht passieren. Gute Beispiele dafür wären CakePHP oder Doctrine. Weitere findest du hier.

Alternativ, wenn dir das lieber ist, kannst du auch einfach die Prepared Statements von PHP in einer Klasse kapseln und das Escapen selbst übernehmen. Ich würde dir hier aber den ORM empfehlen. Dieser ist zwar weitaus komplexer, allerdings auch wesentlich einfacher im späteren Verlauf des Projektes und hat viele weitere Vorteile. Ich arbeite bei neuen Sachen mittlerweile ausschließlich damit.

Schade eigentlich dass dir das bisher niemand gesagt hat. Meiner Meinung nach geht es nur so richtig.

Liebe Grüße,
Valentin

Hier muss ich Valle ganz klar zustimmen und wenn er es nicht geschrieben hätte, wäre sein Post meiner . Nach Jahren mit SQL Frickelei bin ich sehr, sehr dankbar dafür, dass es sowas wie ORM gibt. Damit sollte man sich auf jedenfall beschäftigen.

@Valle: das find ich jetzt scheisse von dir. Absolut scheisse. DAS IST MEIN TEXT!!!!!

Ich kann mich meinen Vorrednern nur anschliessen. Die Idee das SQL selbst zu parsen und versuchen, den Muell rauszuloeschen ist die duemmste Verteidigung die dir gegen SQL-Injection einfallen kann. Nimms mir nicht uebel, aber mit ziemlicher Sicherheit wird man das System mit Hilfe von geschickt platzierten Kommentaren, Quotes und Escape-Characters komplett aushebeln koennen.

Verwende Doctrine oder die PDO-Funktionen fuer MySQL in Verbindung mit Prepared Statements und du wirst bis an dein Lebensende gluecklich. Und das ohne dass du ein weiteres Quadrat als Rad verkaufen musst

Greetz
alcaeus