Hi!

Der Artikel ist zwar ziemlich informativ, aber ich find das doch insgesamt relativ abstrakt. Das ist schon mehr eine Einleitung zu einem Programmierhandbuch. (naja, vermutlich ist es das auch, TL;DR)

Es ist ja auch eines der wichtigsten und am häufigsten missachteten Themen.

Der Teil über die Prepared Statements kommt aber eindeutig zu kurz. Wenn schon so ein langer Artikel über Sicherheit beim String-Verketten, dann sollte auch die standardisierte Profilösung entsprechend mit Beispiel untermauert werden.

Prepared Statements sind nicht als Sicherheitsfeature konzipiert. Es ist ohne Frage sinnvoll, darüber ausführlicher zu schreiben, dann aber eher um generell in das Thema einzuführen, was einen eigenständigen Artikel rechtfertigt - in meinen Augen. Es ist ja nicht so, dass man mal eben schnell das mysql_query() durch eine Prepared-Statement-Funktion ersetzt, da braucht es schon noch etwas mehr Umbau des Scripts - deutlich mehr als das Maskieren in den bisherigen Code einzubringen.

Lo!