Opened by Duff at 2007-05-31 13:00
User since
2003-08-04
12208 Artikel
Admin1
![[Homepage]](/battie/theme/default/homepage.gif)
2003-08-04
12208 Artikel
Admin1
wenn in deinem beispiel $str z.b. von einem user kommt (per CGI),
kann der da sql reinschreiben und somit z.b. bewirken, dass viel mehr
resultate ausgelesen werden. egal, was er damit anstellen kann - er kann
auf jeden fall das sql beeinflussen, und das will man ja nicht.
aber auch selbst kann man sdich mal vertun. deswegen platzhalter
verwenden.
kann der da sql reinschreiben und somit z.b. bewirken, dass viel mehr
resultate ausgelesen werden. egal, was er damit anstellen kann - er kann
auf jeden fall das sql beeinflussen, und das will man ja nicht.
aber auch selbst kann man sdich mal vertun. deswegen platzhalter
verwenden.
Code: (dl
)
1
2
3
4
5
my $str = shift;
my $sql = "SELECT *.... where blablabla = ?";
my $sth = $dbh->prepare($sql) or die 'Fehler: $DBI::errstr\n";
$sth->execute($str);
Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
lesen:
Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
lesen:
Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem