$_GET

Beitrag von **kaisen** » 01.05.2006, 18:39

Hallo!

Ich möchte bei einem meiner Projekte die Sicherheit erhöhen und sogenannte SQl-Injektion etc vermeiden.

Man muss dann ja bei GET-Variablen die Patrameter erst mit $_GET['xxxx'] ins Programm reinholen.

Muss ich nun folgendes machen:

$xxx = $_GET['xxx'];
oder reicht da einfach nur
$_GET['xxx'];
und dann kann ma ndie variable weiter mit $xxx verwenden?

Danke
Kai

von **Anzeige von ABAKUS** »

Beitrag von **Zerstreuter** » 01.05.2006, 19:34

$_GET[] ist ein ganz normales Array und kann genauso verwendet werden d.h. entweder $xxx = $_GET['XXX']; oder du benutzt $_GET['xxx'] direkt.
Deine zweite Variante bewirkt rein gar nix.

Beitrag von **kaisen** » 01.05.2006, 19:46

ok danke.
hab ich mir wohl eingebildet, das das was bringen würde, da registergobals da ON war

Beitrag von **[btk]tobi** » 01.05.2006, 19:50

Wenn dann solltest du htmlspecialchars($_GET['xxx']); machen.

Beitrag von **fornex** » 01.05.2006, 19:56

kaisen hat geschrieben:da registergobals da ON war

meinste es hilft gegen einer SQL Injection?

Beitrag von **fornex** » 01.05.2006, 19:56

[btk]tobi hat geschrieben:Wenn dann solltest du htmlspecialchars($_GET['xxx']); machen.

du meinst bestimmt addslashes()

Beitrag von **kaisen** » 01.05.2006, 19:58

fornex hat geschrieben:
kaisen hat geschrieben:da registergobals da ON war
meinste es hilft gegen einer SQL Injection?

Wenns nicht hilft kann ich mir den ganzen quark sparen

Beitrag von **Fluidum** » 01.05.2006, 20:13

Versuch es mal mit mysql_escape_string() -- Maskiert einen String zur Benutzung in mysql_query.