Open alangecker opened 7 months ago
Hi,
wir hatten das Issue eigentlich noch am gleichen Tag gelesen - sogar gemeinsam, weil wir an diesem Tag zusammen auf einem Treffen waren… nur ist dann die Beantwortung unter den Tisch gefallen.
Ein Umstellen auf PDO ist schon geplant, ich habe den entsprechenden Zweig mit dem Ticket verlinkt.
Ansonsten denke ich, ich hätte von Vorneherein lieber selbst eine simple Funktion schreiben sollen, die für Zahlen nur Zahlen zulässt und für Text nur das, was ich in Text erwarte und alles andere rückstandslos entfernt. Aber sei's drum.
Danke für den Hinweis.
Grüße, Karsten
an mehreren Stellen gibts die Möglichkeit von SQL injections, primär weil
mysqli_real_escape_string()
falsch verstanden wird.Die Funktion ist keineswegs ein Allheilmittel zum Absichern von Inputs in nem SQL Statement, sondern escaped nur
NUL (ASCII 0), \n, \r, \, ', ", and CTRL+Z.
D.h. benutzt ausserhalb von nem string mit'
sichert das nich ab und es kann beliebiger SQL Code eingeschläußt werden, darf nur keine'
oder"
vorkommen^^Da SQL Injections auf die Art viel zuviele Fehlerquellen bietet, sollte mensch generell eher prepared statements nutzen.
Anfälliger Beispielcode