hej,
ich bin neu hier und habe eine dumme frage.
ich möchte auf einer website ein eingabeformular einfügen, deren inhalt (nur text und emailadresse) in einer sql-datenbank abgespeichert werden soll. nun liest man im web viel über sql-insertion attacks usw., und alles klingt sehr kompliziert...
ich habe mich gefragt, ob (in meinem einfachen fall) nicht folgendes ausreicht:
php-code:
wobei sich $this auf eine php-klasse bezieht, die die benutzereingaben description und authoremail enthält und validate() eine methode ist, die überprüft, ob in der eingabe eine klammer steht, die nicht zu einem klammernpaar gehört. eigentlich sollte doch jeder versuch, mit dem sql rumzumurksen an der nicht geschlossenen klammer scheitern, oder?
wenn ich das hier alles VIEL zu einfach sehe usw., wäre ich für links zu (aktuellen, vernünftigen und gut zu verstehenden) hinweisen zu diesem thema sehr dankbar.
vielen dank für eure hilfe!
ich bin neu hier und habe eine dumme frage.
ich möchte auf einer website ein eingabeformular einfügen, deren inhalt (nur text und emailadresse) in einer sql-datenbank abgespeichert werden soll. nun liest man im web viel über sql-insertion attacks usw., und alles klingt sehr kompliziert...
ich habe mich gefragt, ob (in meinem einfachen fall) nicht folgendes ausreicht:
php-code:
Code:
$this.validate(); $query ="INSERT INTO message(description, authoremail) VALUES('".$this->description."','".$this->authoremail."')"; mysql_query($query);
wenn ich das hier alles VIEL zu einfach sehe usw., wäre ich für links zu (aktuellen, vernünftigen und gut zu verstehenden) hinweisen zu diesem thema sehr dankbar.
vielen dank für eure hilfe!
Kommentar