Moin,
und zwar stellt sich mir momentan die Frage, ob ich meine Datenbank „intensiv“ vor Injections schützen sollte, denn in dieser DB befinden sich lediglich Produkt Infos die sowieso alle auf der Seite stehen und der User könnte lediglich eine „Select-Query“ manipulieren. Also was meint ihr? Welche Ausmaße kann so eine Injection annehmen? Danke im Vorraus!
Lg
Freshmojojo
Auch die SELECT-Queries könnten, wenn das System das nicht abfängt, manipuliert und damit INSERT-Quieres abgesetzt werden. Ich empfehle Prepared Statements.
http://dev.mysql.com/doc/refman/5.0/en/sql-syntax-prepared-statements.html
Beim Einrichten des DB Users kann man diesen auf die Benutzung von SELECT Queries einschränken.
Hallo,
ganz klar, ja.
Natürlich musst deine DB schützen, aus 2 gründe
- das die nicht so leicht lam gelegt werden kann durch überlastung, deswegen nie einfach variable unge+rüft übernehmen
- „in dieser DB befinden sich lediglich Produkt Infos“ und es gibt keine andere Tabelle? und was wenn einer bei den lediglich Produkt Infos inhalte ändert, wer haftet da für?
Cheffchen
Ja da habt ihr ganz klar Recht! Ich trage so oder so aus Prinzip keine Variablen direkt in Querys ein ich mache immer ein real escape draus, daher habe ich ja oben „intensiv“ geschrieben Nur meine Frage brauch ich dann noch Magic qoutes etc…