Mal wieder: SQL Injection

[kuddeldaddeldu]

Hi,

Als ob des nen unterschied macht wenn man die Funktion aufruft und den Rückgabewert speichert und später verwendet oder den Rückgabewert direkt mit nem anderen String verkettet. Das ändert doch nichts am Ergebnis....

am Ergebnis ändert das nichts. Trotzdem maskiere ich Werte immer direkt in der Abfrage, bzw. dem Abfragestring. Das hat den Vorteil, dass Du nach 3 Monaten auf einen Blick siehst, dass das eine abgesicherte Abfrage ist und nicht den Quellcode davor durchforsten musst, ob alle Werte bearbeitet wurden.

LG

 

[LordDestros]

Spontan weiß ich nämlich nicht, welche Verbindung [phpf]mysql_real_escape_string[/phpf] nimmt, wenn mehrere offen sind.

Die zuletzt aktive meine ich