Opened by Gast at 2005-01-06 15:22
Hallo
Ich habe das PRoblem bisher dass ich:
z.B.
my $wert= $cgi->param...;
my $wert2= ....;
$wert wird überprüft ob was anderes als Zahlen vorkomme
$wert2 wird überprüft ob ' vorkommt.
einlese einer Benutzereingabe
und dann
diese Werte
in einer SQL Anweisung verwende.
z.B.
my $statement= "SELECT * FROM eine WHERE nummer=$wert2 and name ='$wert'";
dann halt
my $sth=prepare,execute,finish....
Nun können aber schlaue benutzer durch bestimmte eingaben das umgehen und eigene Anweisungen irgendwie ausführen.
Wie kann jetzt z.B. alle Sonderzeichen escapen also ein \ voransetzten, damit kein Müll mehr gemacht werden kann?
Danke für eure Hilfe
Ich habe das PRoblem bisher dass ich:
z.B.
my $wert= $cgi->param...;
my $wert2= ....;
$wert wird überprüft ob was anderes als Zahlen vorkomme
$wert2 wird überprüft ob ' vorkommt.
einlese einer Benutzereingabe
und dann
diese Werte
in einer SQL Anweisung verwende.
z.B.
my $statement= "SELECT * FROM eine WHERE nummer=$wert2 and name ='$wert'";
dann halt
my $sth=prepare,execute,finish....
Nun können aber schlaue benutzer durch bestimmte eingaben das umgehen und eigene Anweisungen irgendwie ausführen.
Wie kann jetzt z.B. alle Sonderzeichen escapen also ein \ voransetzten, damit kein Müll mehr gemacht werden kann?
Danke für eure Hilfe