@generic: Lese mal meinen Beitrag #5

Btw: statt LIKE kannst du auch REGEX verwenden. Und dann kannst du nach regulaeren Ausdruecken suchen. Das ganze ist wahrscheinlich ein bisschen langsamer (muesstes du mal ausprobieren) aber praktisch. Denn du kannst einfach nach
AND serie REGEX '/^\d/' Suchen und bekommst nur alles, was mit einer Ziffer anfaengt. Mit regexen laesst sich natuerlich noch viel mehr anfangen .

Also dann kann ich ja froh sein, dass ich nicht dabei bin.

Also so habe ich das noch nicht gesehen. Ich habe aber am Anfang meines Skriptes folgende Zeilen stehen:
Diese habe ich aber deswegen eingefügt, dass bei einer Eingabe von einem ' kein SQL-Fehler entsteht, an solche bösen Ideen habe ich noch garnicht gedacht. Aber so sollte das ganze doch auch sicher sein, oder?

Jetzt wo ihrs sagt: Ich machs dem Angreifer auch so einfach wie es nur geht. Ich stell ihm sogar das ganze Query zur Verfügung:

Seht euch mal den Quellcode an bitte: http://web575.servana.de/animeworld/series.php. Ist das unsicher, wenn ich hier jede SQL-Aktion ausgebe?
btw: Bin nur der Programmierer; für den Inhalt kann ich nicht haften.

Grüße
Faux

WAS???? Das funktioniert bei dir???
Du hast bestimmt nur magic-quotes aktiviert, die das fuer dich machen, denn deine foreach-schleife macht garnichts.
Denn in foreach($ar as $v) ist $v nur eine KOPIE der variable. Jede veranderung, die du da reinschreibst ist sofort wieder futsch!
Erst ab PHP5 kannst du statt $v auch eine Referenz verwenden (&$v). Dann kannst du auch aendern.

Siehe: http://us2.php.net/manual/en/control...es.foreach.php

Also um die Performance noch bischen zu heben, würde ich erstmal all diese Konstrukte mit like, substring und regexp verwerfen, da die allesamt grottenlahm sind.

Im Fall wird doch lediglich nach Einträgen gesucht, die mit einem bestimmten Anfangsbuchstaben oder Anfangszeichenkette beginnen. (z.B. mit Buh)
... where serie >= 'Buh' and serie < 'Bui' ... Einen schönen Index auf das Serie-Feld, und das Ganze wird um Ecken schneller sein.

Ja ist (soweit ich sehe) sicher. Wenn es nicht sicher waere, dann waere es auch nur Sicherheit powered by Verschleierung. Waere nicht gut.
Ich wuerde das am Ende aber trotzdem rausnehmen. Das ist irgendwie trafficverschwendung. Gut ist ja nicht viel aber wenn wir uns hier schon ueber jede Performancsteigerung streiten .
Du kannst dir ja eine Konstante DEBUGGING definieren, die du auf true oder false setzt. Danach kannst du dann soclhe Ausgaben machen.

DENK aber an deinen foreach-Fehler!

@yankee:
Äähm..
Das habe ich natürlich nicht dort stehen.
Ich habe das dort stehen:
Und in jeder SQL-Aktion benutze ich anstatt von $_GET dann $_SQL.
Den vorherigen Code habe ich (wieso auch immer) nur schnell mal hier her geschrieben, weil ich gerade keine Datei offen hatte.

btw: Ja, MAGIC_QUOTES sind aktiv (zumindest hat beim Aufruf von seite?foo=bar'bar die Variable $_GET['foo'] den Wert bar\'bar. Weiß nicht ob das die MAGIC_QUOTES sind.).

Ja, das mit der DEBUG-Konstante hab ich auch so gelöst.

Grüße
Faux

Wenn du magic-quotes anhast und mysql-escape machst, dann encapsed du die ' aber glaube ich doppelt. Bin mir allerdings jetzt gerade nicht so sicher. Denn wenn du magic0quotes anhastm dann brauchst du mysql_escape nurnoch fuer so ein paar komische werte, was aber kein Sicherheitsrisiko mehr darstellt.
*hicks* sry, wenn es sich schwer lesen lest, ich bin to muede und geh jetzt auch mal ins Bett ...

Habe ich auch bemerkt. Aber nachdem sowieso keine ' in Strings vorkommen sollen, is mir das egal.

Grüße
Faux