hi,
ich will mittels einem kleinen script eine flatfile db mit sql-statments versorgen.
diese werden aus einem delphiprog. heraus erstellt.
auf webserverseite soll dieses script die kommenden sql-sets abarbeiten:
Quelltext
1: 2: 3: 4: 5: 6: 7: 8:
| <?php
$db = new Database("test"); $sqltxt = $_GET["sqltxt"]; $rs = $db->executeQuery(SELECT."$sqltxt"); . .. ?> |
es kommt keine mysql db zu einsatz.
deshalb kann auch kein mysql_real_escape_string() und co.
verw. werden. man müsste also mit php mitteln hier ran gehen.
ich dachte zu ersteinmal vielleicht so:
Quelltext
1: 2: 3: 4: 5: 6: 7:
| $sqltxt = $_GET["sqltxt"]; $sqltxt = ereg_replace(';', '', $sqltxt); $sqltxt = ereg_replace('>', '', $sqltxt); $sqltxt = ereg_replace('<', '', $sqltxt); $sqltxt = stripslashes($sqltxt); $rs = $db->executeQuery(SELECT."$sqltxt"); |
gibt es noch weitere mögl. eine mögl. sql injection
zu verhindern / erschweren ?
mir ist klar das man das nicht zu 100% wasserdicht machen kann,
aber vielleicht sind ja 99% drinn...
cu