Puccini
Neues Mitglied
Hi!
Ich wollt gern meine SQL-Abfragen sicherer machen.
Hab von SQL-Injection gehört und wollte dem vorbeugen.
Ich hab eine Abfrage:
Select * from user wher `id` = '$UserID'
Wenn ich diese jetzt mit sprintf sicherer machen will muss ich doch nur schreiben:
sprintf("Select * from user where `id` = '%d'", $UserID)
oder? Damit wird doch überprüft, ob die UserID wirklich nur eine Zahl ist?
Und bei Strings müsste ich dann halt schreiben:
sprintf("Select * from user where `name` = '%s'", mysql_real_escape_string($UserName))
oder?
Vielen dank für eure Hilfe.
MfG Puccini
Ich wollt gern meine SQL-Abfragen sicherer machen.
Hab von SQL-Injection gehört und wollte dem vorbeugen.
Ich hab eine Abfrage:
Select * from user wher `id` = '$UserID'
Wenn ich diese jetzt mit sprintf sicherer machen will muss ich doch nur schreiben:
sprintf("Select * from user where `id` = '%d'", $UserID)
oder? Damit wird doch überprüft, ob die UserID wirklich nur eine Zahl ist?
Und bei Strings müsste ich dann halt schreiben:
sprintf("Select * from user where `name` = '%s'", mysql_real_escape_string($UserName))
oder?
Vielen dank für eure Hilfe.
MfG Puccini
