[Dresden-pm] Treffen im Februar
Uwe Voelker
uwe.voelker at gmx.de
Mit Feb 26 05:47:35 CST 2003
> Ich kann zum Treffen ein paar Quelltexte mitbringen; hat man einmal
> exemplarisch das Grundprinzip gesehen, ist der Rest relativ leicht.
Wichtig ist eigentlich nur folgendes:
$dbh->do("SELECT * FROM Table WHERE name LIKE ?", undef, $name);
Auf keinen Fall solltest Du dies machen:
$dbh->do("SELECT * FROM Table WHERE name LIKE '$name'");
Im ersten Fall werden Sonderzeichen gequotet, im zweiten nicht.
Kannst ja mal nach "SQL INJECTION" (oder so ähnlich) google'n.
Uwe
PS: do() bei SELECT ist natürlich Quatsch, aber mir ging es nur um das
Fragezeichen.