Hi,
ich habe folgendes Problem:
Ich brauche eine bestimmte Anzahl Systeme aus einer Datenbank. Dieses Systeme sind definiert durch eine Unique ID die aus Buchstaben und Zahlen bestehen. Wenn ich nun im einfachsten Fall ein Script schreibe:
und diese Variable dann in den Query direkt einbauen
Habe ich ja eine super Injection oder? Da ich aber nicht weiß wie viele ID angefragt werden kann ich auch keine Platzhalter für prepared statements setzen.
Wie lößt man so ein Problem?
Gruß
Claus
ich habe folgendes Problem:
Ich brauche eine bestimmte Anzahl Systeme aus einer Datenbank. Dieses Systeme sind definiert durch eine Unique ID die aus Buchstaben und Zahlen bestehen. Wenn ich nun im einfachsten Fall ein Script schreibe:
PHP-Code:
$systemIdList = json_decode($_POST['systemid']);
$idList = "";
foreach($systemIdList as $id)
$idList.="'".$id."', ";
$idList = substr($idList, 0 ,strlen($idList) -2);
PHP-Code:
$sql = "SELECT column FROM table name WHERE id IN ($idList)";
Wie lößt man so ein Problem?
Gruß
Claus
Kommentar