Hallo,
ich habe eine Frage zu mysql_real_escape_string():
Oft wird pauschal gesagt "verwende das immer für alle SQL-Parameter".
Ein Beispiel:
Hier erscheint mir das überflüssig, da der Parameter durch das %d auf eine ganze Zahl abgebildet wird.
Ebenso, wenn ich Strings verwende die aus "vertrauenswürdigen" Quellen stammen z.B. Zeitstempel aus der Datenbank.
Liege ich richtig, dass für diese Fälle keine SQL-Injection möglich ist?
Danke und Gruß,
Frank
ich habe eine Frage zu mysql_real_escape_string():
Oft wird pauschal gesagt "verwende das immer für alle SQL-Parameter".
Ein Beispiel:
PHP:
$query = sprintf('
SELECT name
FROM mitglied
WHERE id = "%d"',
$mitglidId);
Hier erscheint mir das überflüssig, da der Parameter durch das %d auf eine ganze Zahl abgebildet wird.
Ebenso, wenn ich Strings verwende die aus "vertrauenswürdigen" Quellen stammen z.B. Zeitstempel aus der Datenbank.
Liege ich richtig, dass für diese Fälle keine SQL-Injection möglich ist?
Danke und Gruß,
Frank