Datenbankabfragen gegen SQL-Injection sichern

Diese Anleitung setzt die einfache Installation von SSEQ-LIB auf dem Server voraus.

Die Funktion aus der SSEQ-LIB-Bibliothek gegen SQL-Injection ist die: SEQ_MYSQL().

Beispiele der Verwendung in eine Webapplikation:

<br />
<?
php

// minimaler Schutz durch Maskieren (mysql_real_escape_string oder mysql_escape_string bei fehlender Datenbankverbindung)
$abfrage "SELECT * FROM links WHERE id = " SEQ_MYSQL($_GET&#91;'id'&#93;);

// BESSERER SCHUTZ: der zu erwartende Wertetyp (hier eine Zahl)
$abfrage "SELECT * FROM links WHERE id = " SEQ_MYSQL($_GET&#91;'id'&#93;, 'INT');

// BESSERER SCHUTZ: der zu erwartende Wertetyp (hier eine Zeichenkette)
$abfrage "SELECT * FROM links WHERE id = " SEQ_MYSQL($_GET&#91;'id'&#93;, 'STR');

// DER BESTE SCHUTZ: Wertetyp mit Geltungsbereich (hier eine Zahl zwischen 0 und 99999999)
$abfrage "SELECT * FROM links WHERE id = " SEQ_MYSQL($_GET&#91;'id'&#93;, 'INT', 0, 99999999);

// DER BESTE SCHUTZ: Wertetyp mit Geltungsbereich (hier eine Zeichenkette von 3 bis 10 Zeichen)
$abfrage "SELECT * FROM links WHERE username = " SEQ_MYSQL($_GET&#91;'user'&#93;, 'STR', 3, 10);
?><br />

Das könnte dich auch interessieren …