Prepared Statements oder...
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
ausgehen
benutzung
bestehen
bieten
code
dank
gegensatz
gleichzeitig bieten
herangehensweise
jemand
krieg
machen
nachteil
sinn
standard
statement
tip
tun
verhindern
vermutung
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Generell kannst du davon ausgehen, dass bei Prepared Statements weniger (bis gar keine) Möglichkeiten bestehen dich mit SQL-Injection dran zu kriegen. Die Variablen werden vorher automatisch als solche erkannt und können somit kein SQL mehr enthalten.
Das heisst wenn du unprepared Abfragen machst, musst du genau dies durch vorheriges Prüfen verhindern.
Andererseits ist es dann in komplett dynamisch generierten SQL's nicht mehr möglich bzw. sinnvoll es so zu machen.
Letztendlich wäre die Standard herangehensweise zuerst sämtliche queries prepared zu machen, und erst wenn dies keinen Sinn macht, oder zu aufwendig wäre, diese asuzusetzen. -
Prepared Statments sind Injectionssicher (wenn man sie richtig benutzt), und gleichzeitig bieten sie einige Flexiblität. Man kann die gleiche Query immer wieder ausführen, sofern man sie einmal erstellt hat, das macht das wiederverwenden einfacher.
Funktionieren tun sie so, dass der SQL Code vorkompiliert wird, und man dann SQL Variablen verwendet (so habe ich sie verstanden), dadurch sind sie sehr sicher, und in richtiger Nutzung glaub ich auch performanter, das ist aber nur eine Vermutung.
MySQLi und PDO bieten diese Fähigkeiten, und ich persönlich empfehle sie sehr.
Liebe Grüße -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage