Abuse Melding

Je hebt een klacht over de onderstaande posting:

28-07-2012, 08:58 door Anoniem

Als je niet begrijpt wat SQL injection is, en dus ook niet goed begrijpt hoe SQL door de database wordt gebruikt, kun je het probleem ook niet oplossen: Je ziet je eigen fouten niet. Zomaar roepen dat het gebruik van mysql_real_escape_string() voldoende is, laat al zien dat deze man/vrouw niet snapt hoe het werkt en zeer waarschijnlijk nog steeds lekke code oplevert. Dit geldt ook voor het gebruik van een regex voor input validatie, ook dat is niet bestand tegen SQL injection. Laat de database bepalen welke parameters er benodigd zijn om de query uit te voeren en laat de database ook de juiste datatypes voor deze parameters bepalen. Wanneer het id een integer is en je hebt deze voorwaarde WHERE id = ? is er sprake van één parameter van het type integer. Alle andere mogelijke input moet een foutmelding opleveren. Het gebruik van prepared statements doet wonderen. Mits je niet al een geïnjecteerd stuk SQL gaat prepareren, ook dat is gewoon een fout van de programmeur. Userinput mag alleen als ...

Beschrijf je klacht (Optioneel):

captcha