Wie wir in unserem Artikel "mySQL: Schutz vor Angriffen in Datenbankabfragen (SQL Injection)" bereits erklärt haben, ist es vergleichsweise einfach möglich, durch ungesicherte bzw. ungeprüfte Parameter schadhaften oder zerstörenden Code in Ihre SQL Statements einzufügen.
Wie Sie sich z.Bsp. in PHP einfach und schnell gegen solche Angriffe schützen können, zeigt folgender Codeausschnitt:
foreach ($_REQUEST as $key => $val) $_REQUEST["$key"] = mysql_real_escape_string($val);Es werden alle übergebenen Parameter (GET und POST) durch die mySQL Funktion "mysql_real_escape_string" überarbeitet. Dadurch werden die für eine Injektion benötigten Zeichen unschädlich gemacht und der Datenbankserver wird im Normalfall mit der "kaputten" SQL Anweisung nichts anfangen können.
Für weitere Informationen zum Thema SQL Injektion besuchen Sie bitte unseren o.a. Artikel.
