Ja, vor SQL-Injection sollte man sich in Acht nehmen (auch wenn ich "Nullbyte und UTF sind nicht so brav" nicht verstehe; das kann an mir liegen), und vor anderen Gefahren des Alltags auch. Die Webressource, die ich im Zusammenhang mit SQL-Injection immer zitiere, ist bobby-tables.

Meinen Code habe ich ausdrücklich als "Beispiel zum Weiterbauen" bezeichnet, ich denke, dass das klar genug macht, dass es sich dabei nicht um die Empfehlung handelt, diesen Code 1:1 produktiv zu nehmen. (Es ist ja auch eher unwahrscheinlich, dass die Tabelle des OP FOO heißt und die Spalten BAR usw. Außerdem fehlen bei den Values im INSERT die Quotes, es würde also nicht funktionieren.)

Vorsorglich, weil hier gern diskutiert: Das gilt auch für die Behandlung der CSV-Zeilen.

Zeigen wollte ich mit dem Script-Beispiel das, wonach gefragt war: Wie man in komplex geschlüsselten Datenbeständen mit einem verschachtelten Hash Dubletten ermitteln und verarbeiten kann.

Bald bin ich soweit, dass ich mir einen Disclaimer zulege. Ausrufezeichen, Ausrufezeichen, Ausrufezeichen.

PS: Deine Injection (DROP TABLE USERS WHERE (1=1) würde nicht funktionieren, denn in DDL gibt es keine WHERE-Klauseln. Was ginge wäre DELETE FROM USERS; – egal ob mit oder ohne WHERE 1=1.

Editiert von payx: PS
Last edited: 2014-07-23 15:33:04 +0200 (CEST)