Zitat von
Phoenix:
Also: Finger weg von Autoglobals und NUR über die GET- bzw. POST-Variablen zugreifen.
Und um da noch eins draufzusetzen: wenn die Variablen in
SQL-Statements eingebaut werden sollen, dann sollte noch einen Type-check machen. Fuer ints z.B.:
Code:
$foo = intval($_GET['foo'])
So kann man nicht
SQL-Statements einschleussen, wenn man sowas hat:
Code:
SELECT * from foo_bar WHERE foo_id=$foo
Wenn ich keinen Typecheck mache, so kann ich ueber $foo ein
SQL-Statement einschleussen und dieses ausfuehren lassen, so kann man z.B. die gesamte
DB loeschen.
Greetz
alcaeus