Zitat von
FAlter:
Zitat:
Du wirst mit
SQL auf deine DBs zugreifen, denn andere Optionen hast du nicht.
Intern schon, aber letztlich merke ich nix davon.
Für das was du hier vorhast (Daten von X nach Y pumpen) brauchst du nur
- select a,b,c,d from abc
- create table def(a sometype, b sometype,c sometype,d sometype)
- insert into def(a,b,c,d) values(:a,:b,:c,:d)
Zitat:
Zitat:
(was eh BLÖDSINN ist, da die DBs lokal vorliegen!!!)
Was macht das für einen Unterschied?
...
SQL-Injections sind IMMER ein Problem, sie müssen nicht Absicht und nicht nur über Netzwerke geschehen.
Der Unterschied ist, dass lokale DBs immer ungeschützt sind.
Aber wie ich als "a)" bereits sagte, Parameter in dem Insert-Statement verhindern
SQL Injections. Die Werte kommen als Variablen rein und der Parser hat nie etwas mit den Inhalten der Variablen zu tun.
SQL Injections sollte es seit Jahren eigentlich nur by diesen schrecklichen mysql_BLABLA PHP Krempel geben.
Überall sonst hat man Parameter zur Verfügung und sollte die auch immer benutzen Denn wer Werte in SQLs reinfriemelt frisst auch kleine Kinder!
