hi,
ich will mittels einem kleinen script eine flatfile db mit sql-statments versorgen.
diese werden aus einem delphiprog. heraus erstellt.
auf webserverseite soll dieses script die kommenden sql-sets abarbeiten:
Quelltext
1:
2:
3:
4:
5:
6:
7:
8:
| <?php
$db = new Database("test");
$sqltxt = $_GET["sqltxt"];
$rs = $db->executeQuery(SELECT."$sqltxt");
.
..
?> |
es kommt keine mysql db zu einsatz.
deshalb kann auch kein mysql_real_escape_string() und co.
verw. werden. man müsste also mit php mitteln hier ran gehen.
ich dachte zu ersteinmal vielleicht so:
Quelltext
1:
2:
3:
4:
5:
6:
7:
|
$sqltxt = $_GET["sqltxt"];
$sqltxt = ereg_replace(';', '', $sqltxt);
$sqltxt = ereg_replace('>', '', $sqltxt);
$sqltxt = ereg_replace('<', '', $sqltxt);
$sqltxt = stripslashes($sqltxt);
$rs = $db->executeQuery(SELECT."$sqltxt"); |
gibt es noch weitere mögl. eine mögl. sql injection
zu verhindern / erschweren ?
mir ist klar das man das nicht zu 100% wasserdicht machen kann,
aber vielleicht sind ja 99% drinn...
cu
