Ja, bei eigenem Code sieht man oft den Wald vor lauter Bäumen nicht :)

Ich würde noch die Request-Parameter der ersten drei Zeilen mit intval() filtern:

$old = intval($_REQUEST['idsort']);

... damit die Queries gegen eine Injection abgesichert sind

12 AndiN

Im Live-System teste ich $new und $old mit is_numeric() ob es sich um eine Zahl handelt bevor ich die beiden Variablen benutze.
Das ist doch genau so effektiv, oder?

Das reicht wohl, um Injections zu verhindern. Besser wäre vielleicht noch ctype_digit(), welches Strings darauf prüft, ob sie nur Ziffern enthalten - im Gegensatz zu is_numeric(), welches auch Dezimalzahlen mit einem Punkt zulässt.

Seite 12

nach oben

Beitrag schreiben (als Gast)

Verwandte Themen
Thema	Autor	Forum	Beiträge	Letzter Beitrag
Abfrage von Timestamp-Felder zu Date-Formatfeld ändern	webuser	PHP und MySQL	6	17.12.2016 16:35
MySQL abfrage per JavaScript	Peter	JavaScript	32	11.04.2013 16:19
Umstellung eines CMS auf XHTML	Jörn Poppenhäger	HTML und CSS	4	18.11.2009 17:25

SQL-Abfrage wird nach Umstellung auf PHP7 falsch interpretiert [2]

11 Jörg Kruse

12 AndiN

13 Jörg Kruse

Beitrag schreiben (als Gast)

SQL-Abfrage wird nach Umstellung auf PHP7 falsch interpretiert [2]

Beitrag schreiben (als Gast)

Verwandte Themen