darph
2006-08-09, 13:35:28
Ja, nun.
Die Frage ist: Ist das sicher genug gegen Injections und Dergleichen?
public function enterAccount($account) {
$query = sprintf("INSERT INTO "
."account (AccountType_id, title, description) "
."VALUES (%d, '%s', '%s');",
mysql_real_escape_string($account->getAccountType()),
mysql_real_escape_string($account->getTitle()),
mysql_real_escape_string($account->getDescription()));
$this->insert($query);
return mysql_insert_id();
}
$this->insert($query) führt einfach das Query mit einer standardisierten Fehlermeldung aus, damit ich das nicht jedesmal neu tippen muß.
Die Frage ist: Ist das sicher genug gegen Injections und Dergleichen?
public function enterAccount($account) {
$query = sprintf("INSERT INTO "
."account (AccountType_id, title, description) "
."VALUES (%d, '%s', '%s');",
mysql_real_escape_string($account->getAccountType()),
mysql_real_escape_string($account->getTitle()),
mysql_real_escape_string($account->getDescription()));
$this->insert($query);
return mysql_insert_id();
}
$this->insert($query) führt einfach das Query mit einer standardisierten Fehlermeldung aus, damit ich das nicht jedesmal neu tippen muß.