Mysqli og SQL-injektioner

jeg er selv lige begyndt så småt på mysqli og jeg har læst at hvis man bruger prepared statements, vil du fjerne muligheden for injections helt og aldeles. jeg kan ikke lige huske hvor jeg læste det, da jeg efterhånden har været lidt rundt for at se eksempler osv.

Har jeg også læst mig frem til. Men ønsker som sagt at være helt sikker :D

Hvis du bruger mysqli og prepare boer du vaere sikret mod SQL injection.

Saadan fungerer parameters/prepared statement.

Eneste risiko er at der er en fejl i mysqli modulet og den risiko er langt mindre end risikoen for fejl i ens egen kode.

Det er nok svaert at finde en officielt tekst.

Fordi det ligger i hele konceptet (og konceptet kendes fra alle mulige andre programmerinsg sprog).

Du laver din SQL saetning med spoergsmaals tegn eller andre markeringer og putter saa senere vaerdier ind for dem.

Vaerdier er per definition forskellig fra vilkaarlig SQL.

Det bedste du kan finde er nok:

http://us3.php.net/manual/en/mysqli.prepare.php

Note: The markers are legal only in certain places in SQL statements. For example, they are allowed in the VALUES()  list of an INSERT statement (to specify column values for a row), or in a comparison with a column in a WHERE clause to specify a comparison value.
However, they are not allowed for identifiers (such as table or column names), in the select list that names the columns to be returned by a SELECT statement, or to specify both operands of a binary operator such as the = equal sign. The latter restriction is necessary because it would be impossible to determine the parameter type. It's not allowed to compare marker with NULL by ? IS NULL too. In general, parameters are legal only in Data Manipulation Languange (DML) statements, and not in Data Defination Language (DDL) statements.

Én hovedpine mindre :D

Lig et svar begge to

.

OFF TOPIC: Dejligt at ekspertens mailsystem ikke er forsinket de 10+ min det var i det gamle system.

Jeg skal lige understrege:

"SELECT * FROM tabel WHERE f = ?"

er sikker med mysqli og prepare.

"SELECT * FROM tabel WHERE f = $f"

er lige saa usikker som den altid har vaeret.

Det er brugen af parameter som goer forskellen.

jeg skal ikke have point for den udtalels :)

jeg lærte selv lidt her, jeg er som sagt også MEGET grøn i mysqli sammenhæng :)

arne_v -> Når jeg nu ser dit sidste indlæg, kan jeg da godt se at mit første eksempel ikke var det bedst skrevne...

splazz -> fair nok

Er det egentligt muligt at lave en subquery eller er det der man skal bruge mysqli_multi_query?

SELECT Felt, (SELECT Farve FROM Farverkoder LIMIT 1) FROM Table