Entwicklung/Codedoku: Unterschied zwischen den Versionen

(→‎CSS Style Sheets: ist überarbeitet)
Zeile 149: Zeile 149:
Hier wird die Größe eines Caches geändert. Variablen werden als fortlaufend numerierte Platzhalter &1, &2 etc. übergeben. Die Funktion ''sql'' ruft dann intern für jede Variable <code>mysql_real_escape_string()</code> auf, was spezielle Zeichen wie " codiert und gleichzeitig [[wikipedia:SQL-Injection|SQL-Injections]] verhindert.
Hier wird die Größe eines Caches geändert. Variablen werden als fortlaufend numerierte Platzhalter &1, &2 etc. übergeben. Die Funktion ''sql'' ruft dann intern für jede Variable <code>mysql_real_escape_string()</code> auf, was spezielle Zeichen wie " codiert und gleichzeitig [[wikipedia:SQL-Injection|SQL-Injections]] verhindert.


'''Niemals dürfte Variablen direkt in SQL-Statements eingebaut werden!''' Entweder sind Platzhalter zu verwenden, oder man muss sie einzeln mit <code>sql_escape()</code> absichern.
'''Niemals dürfte Variablen direkt in SQL-Statements eingebaut werden!''' Wann immer möglich sind Platzhalter zu verwenden. Notfalls kann auch direkt mit <code>sql_escape()</code> codiert werden, was allerdings Probleme verursacht, wenn ein "&" in den Daten enthalten ist: Die Funktion <code>sql()</code> interpretiert es anschließend als Startzeichen eines Platzhalters.


  $cachesize = sql_value("
  $cachesize = sql_value("
2.505

Bearbeitungen