Naja prinzipiell, wenn jede input Variable vorher auf ihre Gültigkeit geprüft wird ("verbotene Sonderzeichen" verweigert oder ersetzt usw) sollte es prinzipiell keine Möglichkeit einer sqli geben.. (eig. etwas, auf was man immer achten sollte)
Prinzipiell reicht es schon (gerade in Sachen mysql) die mysql_real_escape_string (oder je nach API dementsprechende Function) zu verwenden
Mein Favourite ist es aber immernoch die Variablen einzeln nach bestimmten Kriterien zu scannen und "sortieren"
Zum Thema Rangliste würde ich ein einfaches Cacheing empfehlen, da der größte Angriffspunkt hierbei die "vielen" Datenbank requests sind!
Im punkto Spieler-Suche, s.o.
|