Zur Navigation

SQL-Abfrage wird nach Umstellung auf PHP7 falsch interpretiert [2]

11 Jörg

Ja, bei eigenem Code sieht man oft den Wald vor lauter Bäumen nicht :)

Ich würde noch die Request-Parameter der ersten drei Zeilen mit intval() filtern:

$old = intval($_REQUEST['idsort']);

... damit die Queries gegen eine Injection abgesichert sind

08.02.2017 16:54

1 Forenmitglied fand diesen Beitrag gut

12 AndiN

Im Live-System teste ich $new und $old mit is_numeric() ob es sich um eine Zahl handelt bevor ich die beiden Variablen benutze.
Das ist doch genau so effektiv, oder?

08.02.2017 17:02

13 Jörg

Das reicht wohl, um Injections zu verhindern. Besser wäre vielleicht noch ctype_digit(), welches Strings darauf prüft, ob sie nur Ziffern enthalten - im Gegensatz zu is_numeric(), welches auch Dezimalzahlen mit einem Punkt zulässt.

08.02.2017 17:19

Beitrag schreiben (als Gast)

Beim Verfassen des Beitrages bitte die Forenregeln beachten.





[BBCode-Hilfe]