Wie mache ich MySQL-Abfragen sicher?

[ChrisEU]

Wie kann ich so eine "Suchabfrage" sicher gegenüber Hacking-Angriffen (Stichwort: SQL-Injection) machen?

$sql = "SELECT * FROM buecher WHERE $_GET[art] LIKE '%$_GET[kriterie]%' AND $_GET[art2] LIKE '%$_GET[kriterie2]%'";
$result = mysql_query($sql);

Leider habe ich keine Ahnung, wie ich die Datenbank schützen kann... ich hoffe ihr könnt mir helfen!!

 

[CPoly]

Umschließe deine Variablen mit mysql_real_escape_string()

Also
$_GET[art]
wird zu
mysql_real_escape_string($_GET[art])

 

[ChrisEU]

ist das jetzt schon sicher genug oder gibt es immer noch Sicherheitslücken?

 

[bofh1337]

Als erstes sollte doch mal sicher gestellt werden, das die _REQUEST - Variablen überhaupt gesetzt sind.
Falls diese gesetzt sind, ist das escapen und genaue Prüfen auf gewünschter Inhalt wohl das A und O des ganzen