September 2009
Intermediate to advanced
912 pages
48h 11m
German
Sie müssen die Gefährdung Ihrer PHP-Anwendung durch SQL-Injection-Angriffe ausräumen.
Nutzen Sie eine Datenbankbibliothek wie PDO, die die für Ihre Datenbank erforderlichen Maskierungsvorgänge übernimmt:
<?php
$db = new PDO('mysql:host=localhost;dbname=users',
$_SERVER['DB_USER'],
$_SERVER['DB_PASSWORD']);
$statement = $db->prepare("INSERT
INTO users (username, password)
VALUES (:username, :password)");
$statement->bindParam(':username', $clean['username']);
$statement->bindParam(':password', $clean['password']);
$statement->execute();
$db = NULL;
?>Der Einsatz gebundener Parameter sichert, dass Ihre Daten nie in einen Kontext gelangen, in dem sie als etwas anderes betrachtet werden als reine ...