September 2009
Intermediate to advanced
912 pages
48h 11m
German
Sie müssen Text- oder Binärdaten für eine Abfrage sicher machen.
Schreiben Sie alle Ihre Abfragen mit Platzhaltern, damit prepare( ) und execute( ) die Strings für Sie maskieren können. „12.8 Abfragen effizient wiederholen“ zeigte die verschiedenen Arten, Platzhalter zu nutzen.
Müssen Sie das Maskieren selbst vornehmen, müssen Sie die Methode PDO::quote( ) nutzen. Eine der seltenen Gelegenheiten, bei denen Sie dazu gezwungen sein könnten, ist das Maskieren von SQL-Jokerzeichen, die aus Benutzereingaben stammen, wie Sie es in Listing 12.24 sehen.
<?php $safe = $db->quote($_GET['searchTerm']); $safe = strtr($safe,array('_' => '\_', '%' => '\%')); $st = $db->query("SELECT * FROM zodiac WHERE planet LIKE ...