also brauche ich nur mysql_real_escape_string($var, $db) nehmen und das ist schutz genug?
natürlich wenn ich beispielsweise so eine abfrage habe
lieber so
dann wenn in formularen nur zahlen eingeben werden soll kann man dies ja auch prüfen, desweiteren habe ich die formular felder auf eine maximallänge gesetzt, ist doch sicherauch noch ein wenig schutz oder?
natürlich wenn ich beispielsweise so eine abfrage habe
PHP-Code:
"select * from user where uid=".$_GET['uid']
PHP-Code:
$id = (int)$_GET['uid'];
"select * from user where uid=".$id
Kommentar