Frage von RaceShafter, 31

Wird Real Escape String noch benötigt?

Habe jetzt jede Verbindungen mit der Datenbank via Prepared Statements laufen lassen. Ist eine Injektion jetzt schon verhindert oder muss Real_Escape_String noch dazu?

Gruß

Antwort
von maximilianus7, 16

Real_Escape_String ist dann nicht mehr nötig - vorausgesetzt die entspr. variablen werte sind mit ? oder :xyz kodiert. könnte sogar sein, dass du dann störende \ in den daten hast. probiers mal aus.

Kommentar von RaceShafter ,

Ok danke. Habe es nun vor jeder Prepared Statement Ausführung geschrieben. Und soweit läuft alles gut. Dann habe ich ja den SQL-Injektionsschutz fertig :D. Endlich. War nur ein reines Rumärgern.

Antwort
von fragenbuch, 22

Real_Escape_String solte noch dazu.

Kommentar von RaceShafter ,

Ups. So, ok danke :)

Kommentar von maximilianus7 ,

warum?

Kommentar von RaceShafter ,

Warum was?

Kommentar von TeeTier ,

Natürlich nicht! Ein zusätzliches Escaping hat einen Laufzeit-Overhead und "versaut" den Inhalt der Datenbank.

Dir ist offensichtlich gar nicht klar, wofür Prepared Statements eigentlich "erfunden" wurden, oder? :)

Hoffentlich muss später niemand mehr den Inhalt deiner Datenbanken irgendwo anders hin migrieren. ><

Keine passende Antwort gefunden?

Fragen Sie die Community

Weitere Fragen mit Antworten