Closed garnas closed 3 years ago
Zurzeit wird real_escape_string auf das mysqli-Objekt angewendet, um gegen SQL-Injections zu schützen.
Besser wären Prepared-Statements. Bei diesen ist ein Escaping nicht notwendig. Sanitizing in first.logic.php würde dann entfallen.
Dynamisch eingefügte Tabellennamen müssen dann jedoch weiterhin escaped oder besser gegreenlighted werden (Abgleich mit erlaubten Werten).
Dies sollte erst nach dem abgeschlossenen Refactoring von mir angegangen werden!
Alle aktiven Klassen wurden auf Prepare-Statements umgestellt
Zurzeit wird real_escape_string auf das mysqli-Objekt angewendet, um gegen SQL-Injections zu schützen.
Besser wären Prepared-Statements. Bei diesen ist ein Escaping nicht notwendig. Sanitizing in first.logic.php würde dann entfallen.
Dynamisch eingefügte Tabellennamen müssen dann jedoch weiterhin escaped oder besser gegreenlighted werden (Abgleich mit erlaubten Werten).
Dies sollte erst nach dem abgeschlossenen Refactoring von mir angegangen werden!