Verwendung $DB_WE / SQL-Injection

Hallo zusammen,

ich habe bisher immer innerhalb webEdition PDO bei Datenbankabfragen/Inserts/Updates usw. verwendet und will etwas mehr mit $DB_WE arbeiten. Was mir einfach fehlt sind die Prepared Statements, das ist mit der Klasse nicht möglich, oder? Hab zumindest nichts gefunden. Wie macht Ihr das gegen SQL-Injection? Mit der Methode escape ist man safe?

$db->escape($select);
$data = $db->getAllq($select);

Mehr als das habe ich nicht gefunden: https://documentation.webedition.org/entwickler-und…e_functions.php

Gruß Heiko

Hallo Ulrich, danke für dein Feedback.

Ich verarbeite die Daten z.B. für eine Newsletteranmeldung oder Kontaktformularen per Ajax und mit PHP/PDO und keinen We-Tags. Ich wollte dort zumindest statt PDO mal mit $DB_WE arbeiten.

Ich merke, dass ich leider zu wenig mit webEdition-Tags arbeite.

Hallo Ulrich,

zumindest habe ich jetzt festgestellt, dass nur die Benutzereingaben darüber laufen sollten:

$input = $db->escape($input); 

Ist anscheinend auch so gedacht wie bei mysqli?

$email = $mysqli->real_escape_string($_POST['email']);

Vielleicht kann man die Doku diesbezüglich aktualisieren?

https://documentation.webedition.org/entwickler-und-agenturen/tipps-und-rezepte/imi__database_functions.php

Ich bin gerade dran mehr mich mit den Formular Tags zu beschäftigen und werde sicherlich noch einige Fragen haben.

Gruß Heiko