Der Interessehalber:
Ich beziehe von einem Anbieter Daten im JSON-Format und will diese in einer DB speichern. Ist es hier erforderlich (um SQL-Injections zu vermeiden), die Variablen mit einem htmlentities-Parameter zu sicher oder ist das nicht nötig, da man der Quelle blind vertrauen kann?
Nach meiner Logik könnte eigentlich nur der Datenbereitsteller der JSON-Inhalte eine SQL-Injection provozieren, wobei man sich fragen muss, warum er das machen sollte. Oder gibt es noch die Möglichkeit, dass die JSON-Daten durch einen Dritten manipuliert werden können?
Würde sich eine pauschale htmlentitie-Deklaration jeder einzelnen Variable "merklich" auf die Performance des Scripts auswirken?
Ich beziehe von einem Anbieter Daten im JSON-Format und will diese in einer DB speichern. Ist es hier erforderlich (um SQL-Injections zu vermeiden), die Variablen mit einem htmlentities-Parameter zu sicher oder ist das nicht nötig, da man der Quelle blind vertrauen kann?
Nach meiner Logik könnte eigentlich nur der Datenbereitsteller der JSON-Inhalte eine SQL-Injection provozieren, wobei man sich fragen muss, warum er das machen sollte. Oder gibt es noch die Möglichkeit, dass die JSON-Daten durch einen Dritten manipuliert werden können?
Würde sich eine pauschale htmlentitie-Deklaration jeder einzelnen Variable "merklich" auf die Performance des Scripts auswirken?