Zitat von
Yheeky:
wenn ich eine Eingabe wie "DROP TABLE" unterlassen will.
Junge, lies doch mal was ich sag:
Zitat von
alcaeus:
Versuch nicht zu verhindern, dass ein Benutzer
SQL-Queries mitschickt. Verhindere, dass diese zur Ausfuehrung kommen
Zur Not kannst du dem Benutzer ja auch sagen, dass er keine
SQL-Statements eingeben soll. Dann wird er es aber erst recht tun...
Was ist der Unterschied zwischen den beiden Queries:
SELECT * FROM users WHERE username='';DROP TABLE users;--';
SELECT * FROM users WHERE username='\';DROP TABLE users;--';
Richtig, bei einem wird das eingegebene Statement ausgefuehrt, beim anderen nicht, weil das Quote escaped ist.
Greetz
alcaeus