Quote:
Originally Posted by Shawak
Gibt es einen Error?
Code:
print_r($stmt->errorInfo());
|
Code:
$stmt=$cn->prepare("UPDATE `benutzer` SET status='Online' WHERE username=:username");
$stmt->bindParam(':username',$result['name'],PDO::PARAM_STR);
$stmt->execute();
print_r($stmt->errorInfo());
Gibt aus. Array ( [0] => 00000 [1] => [2] => )
Ui. Also der Fehler lag wohl daran, das ich anstatt $result['username'] - $result['name'] genommen habe. (Ich war schon ein wenig weiter...)
Wie ist das mit sql-injections,ist die seite einigermaßen sicher mit :
Code:
$cn = new mysqli($servername,$db,$pw,$userdb);
$data = $cn->real_escape_string($data);
$data = htmlentities($data, ENT_QUOTES | ENT_HTML5, 'utf-8');
$return_str = str_replace( array('<','>',"'",'"',')','('), array('<','>',''','"',')','(','&sem','&bso','&so','&bs','&eq'), $data );
$return_str = str_ireplace( '%3Cscript', '', $return_str );
$data = $return_str;
return $data;
+
Prepared statements + PDO ?
anschauen, meiner Meinung nach ist das eine super Methode. 
