nicht angemeldet
Hallo MB,
Ich arbeite natürlich mit specialhtmlchars() und Prepared statements. Das hatte ich nicht angeführt Sry
Prepared statements sind keine Magie, deine String-Concatenations werden nicht magisch dadurch sicher, dass du sie durch pepare() jagst. Du musst das schon richtig anwenden. Statt
$sql = "INESRT INTO {$tabelle} ( {$spalte1}, {$spalte2}, ... ) VALUE ( {$value1}, {$value2}, ... );"
lieber Platzhalter verwenden, etwa so:
$sth = $db->prepare("INSERT INTO tablename (col1, col2, ...) VALUES (:col1, :col2, ...)");
$sth->execute(array(':col1' => $value1, ':col2' => $value2));
Nur so kannst du sichergehen, dass keine SQL-Injection stattfindet.
LG,
CK
Tabellenkalk
Rolf b
MudGuard
Auge
Der Martin