SQL Injection - einmal anders
Posted by Sven Vetter on July 9th, 2007
Es ist ja allgemein bekannt (hoffentlich), dass man seinen Code so schreiben soll, dass SQL Injection unmöglich ist (für die, die es nicht wissen, es gibt da im Internet viele gute Artikel dazu - oder fragen Sie uns...).
Man kann es aber auch ganz extrem machen - und dies sogar von einer Bank (siehe den Artikel Securing Secure Security).
Es ist schon nett, wenn man dem Benutzer sagt, welche Statements er nicht eingeben darf, damit es nicht zu SQL Injection kommen kann. Aber vielleicht kommt er dadurch erst auf dumme Ideen? Aber vielleicht fehlen noch ein paar Befehle?
Siehe dazu auch Pete's schönen sarkastischen Artikel...