nicht angemeldet
Suche in Datenbank - sicher?
Hi,
ich hab ein Textfeld - die Eingabe des Benutzers wird direkt als Suchwort in die SQL-Abfrage umgesetzt. Zur Verdeutlichung ein bisschen Code:
-----------------------------------------
if ($searchstring!="") $queryzusatz=" AND [blabla] LIKE '%".$searchstring."%'";
$query="SELECT [blabla] FROM [blabla] WHERE [blabla]".$zusatz." ORDER BY [blabla];";
-----------------------------------------
Ist diese sehr einfache Suchfunktion sicher oder muss ich mein Textfeld noch gegen irgendwelche 'bösen' Codes absichern??? Wie handhabt ihr das?
Danke für Eure Hilfe!
Aaron
-
Hi,
if ($searchstring!="") $queryzusatz=" AND [blabla] LIKE '%".$searchstring."%'";
Ist diese sehr einfache Suchfunktion sicher oder muss ich mein Textfeld noch gegen irgendwelche 'bösen' Codes absichern???
wenn der User etwas mit "blub'" beginnen lässt, ist zumindest Dein "LIKE '%blub'" schon mal abgeschlossen. Welches Sicherheitsrisiko sich daraus ergibt, wird Dir ein Hacker besser sagen können, wenn er Lust dazu hat.
Cheatah