PHP sqlinjections vermeiden

jo ich bin zZ wieder nen bischen mit PHP am basteln und da wollte ich mal fragen ob folgende Methode reicht um angriffe mit "falschen" eingaben zu verhindern:



jede eingabe wird neben isset auch hier durchgejagt und es wird nur der eigendliche code ausgeführt wenn bei alle sachen true rauskommt, reicht das?

Sollte eigentlich reichen.

Naja, ich empfehle dir in deinen Querys den mysql_real_escape_string() Tag zu benutzen.

da aber sonderzeichen in den eingaben eh nicht benötigt werden hab ich mich gegen die escape string methode entschieden und mache es direkt über regex, naja mir ist auch nichts eingefallen wie man dran vorbei kommen könnte, ich denke es reicht so ^^

Das reicht vollkommen, wenn du wirklich bei jeder eingabe "a-z A-Z 0-9" zu lassen willst.

Eine Injection wäre ja schon

Daher sollte tolios script das schoneinmal abdecken da es dem "standart" script sehr änhlich ist und daher auch gehen sollte :o

oder einfach gleich pdo und prepared statements nutzen

Ähm, ich kann mich täuschen, aber die Funktion gibt doch auch true zurück, wenn zwar Sonderzeichen enthalten sind, aber auch mindestens ein normales. Immerhin müsste preg_match dann ja trotzdem den akzeptierten Teil matchen.

Es gibt doch in RegExps auch Metazeichen, die Anfang und Ende eines Strings symbolisieren. Die würde ich an Anfang und Ende platzieren, damit eben nur akzeptierte Zeichen und weder etwas davor noch etwas dahinter im String sind.

die funktion gibt false zurück wenn etwas gefunden wurde was nicht a-zA-Z0-9 ist; ^ ist negierung

Oh völlig übersehen.