Früher wurde einfach geschrieben
select *from DB WHERE id=$_GET["id"]
jetzt kann das schlecht enden.
Ich teste die id immer über is_numeric
ist das ausreichen oder lässt man immer noch eine Lücke?
Bei string verwende ich immer:
$name= $mysqli->real_escape_string($_POST["name"]);
select *from DB WHERE id=$_GET["id"]
jetzt kann das schlecht enden.
Ich teste die id immer über is_numeric
$id=$_GET["id"]
if (!is_numeric($id))
echo "keine Zahl";
select *from DB WHERE id=$id;
if (!is_numeric($id))
echo "keine Zahl";
select *from DB WHERE id=$id;
Bei string verwende ich immer:
$name= $mysqli->real_escape_string($_POST["name"]);
Kommentar