mysql_real_escape_string noch aktuell?

**h3ll** · 20.10.2009, 22:32

Zitat von mainclain Beitrag anzeigen

Hallo,
ich habe eigentlich nur die Frage, ob der Befehl "mysql_real_escape_string" noch aktuell ist.

Ja. Aber noch aktueller sind Prepared Statements.

Zitat von mainclain Beitrag anzeigen

Soweit ich gelesen habe sind seit php5 mehrfach abfragen in Querys gar nicht mehr möglich, also doch auch keine SQL Injections oder irre ich mich da?

Du irrst. Man braucht keine Mehrfachabfragen für SQL-Injections.

Zitat von mainclain Beitrag anzeigen

Eine weitere Frage ist, ob addslashes eine alternative ist, die ohne Probleme funktioniert?

Nein, absolut nicht. addslashes() ist nicht Multi-Byte-kompatibel und bietet keinen ausreichenden Schutz vor Injections. Außerdem Variiert das Escaping von Datenbank zu Datenbank. addslashes() nimmt darauf keine Rücksicht. Auf jeden Fall vermeiden.

Zitat von mainclain Beitrag anzeigen

Auf PHP.net wird zwar davon abgeraten, sie zu verwenden (wenn man mysql benutzt), doch eine richtige begründung sehe ich nicht

Siehe oben.

**combie** · 20.10.2009, 22:33

Mehrfach Querys ist nur eine Variante der SQL Injections.
Und Ja, es ist noch genau so aktuell wie mysql_query.
(nämlich so gut wie gestorben)

Aber viel aktueller ist PDO mit seinen prepared Statements.
Oder sofort ein ORM wie z.B. Doctrine oder Propel

**mainclain** · 21.10.2009, 05:22

Okay viel dank euch beiden. Hatte mich zwar über SQL Injection ein wenig informiert, doch findet man so schwer beispiele und das einzigste was ich gefunden habe war mit Mehrfachabfragen

Ich werde mir PDO mal ansehen, kannte ich nähmlich auch noch gar nicht

Vielen dank für eure Antworten

Edit: Hab mir inzwischen PDO angesehn - prima sache, komme nun durch die vermehrte Klassenbenutzung eh viel besser mit PHP klar :P

mysql_real_escape_string noch aktuell?