Moderator
Tweet
Wieso PHP seitig ? MySql hat auch ne md5() Funktion und die gehört in den String
-
Wenn der String aber erst MySQL-seitig gehasht wird, ist es zu spät. Da ist die Möglichkeit der SQL-Injection schon gegeben. Ich dachte das hattest du absichtlich berücksichtigt.
-
@TobiaZ
Dachte ernsthaft, dass dies eine Injection verhindern würde. Von nun an nur die PHP Fkt md5() verwenden
Danke und Gruss
tobiGutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten
[color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)Comment
-
Mich interessiert noch wieso ihr keine Datenbankabstraktion verwendet? z.B. MDB2 oder von mir aus auch noch PEAR DB?
Da braucht ihr euch um das escapen nicht wirklich kümmern.Comment
-
Weil sowas viel zu langsam ist - gerade PEAR. Wenn dann selbst geschrieben, wobei ich prepared Querys vorziehe, da muss man auch nichts escapen.Mich interessiert noch wieso ihr keine Datenbankabstraktion verwendet? z.B. MDB2 oder von mir aus auch noch PEAR DB?Die Regeln | rtfm | register_globals | strings | SQL-Injections | [COLOR=silver][[/COLOR][COLOR=royalblue]–[/COLOR][COLOR=silver]][/COLOR]Comment
-
Naja, soviel langsamer ist es nun nicht wirklich. Und prepared Querys sind ja egal ob MDB2 oder DB immer dabei gewesen.
Man muss ja nicht immer da Rad neu erfinden.Wenn dann selbst geschrieben
Comment
-
[QUOTE]Original geschrieben von TobiaZ
[B]@Mik: "QB_SECURE_MYSQL_PARAM" WTF??? Woher hast du das?
Ach du meine Güte... das hat er von mir. Wie soll man jetzt drauf kommen, dass das jemand für eine PHP-Standardfunktion hält...Comment
Comment