String auf Sql Injektion Prüfen

[sipS]

Hi...
Ich hab in php nen string wo ein sql request drin steht..

Wie kann ich den jetzt am besten auf sql Injektion prüfen und ggf verhindern??

Sry bin nochn n00b will aber meine script einigermaßen sicher machen!

 

[daseddy]

Das was Du suchst heißt prepare.
Stichworte für die Googlesuche: pdo php prepare
oder hier:
http://de2.php.net/pdo-prepare

 

[Roger Wilco]

Das was Du suchst heißt prepare.

Sagen wir lieber Prepared Statements, dann findet er auch etwas unabhängig von PDO und PHP...

 

[l0rd]

Ein erster und schneller Schritt wäre die Verwendung der php-Funktion mysql_real_escape_string() .


Prepared Statements gehen soweit ich weiß nicht immer, insbesondere dann, wenn du dynamische JOINS über unterschiedliche Tabellen hast. Man sollte sie aber verwenden, wenn es möglich ist.