Hallo,
ich habe eine WebApp welche per Ajax ein PHP Script aufruft um Daten aus einer Tabelle zu lesen. Nun soll es möglich sein, dass der Benutzer in einem Textfeld einen beliebigen Suchstring eingeben kann nach dem in jeder Spalte der Tabelle gesucht wird. Pronzipiell kein Problem aber dadurch bin ich dann offen für SQLInjection denn ich wüßte nicht, wie ich den HAVING String aufbauen soll ohne das dort alles mögliche drin stehen kann.
Also mal ganz einfach als Beispiel
wäre ja eine perfekte Lücke oder? Aber ich wüßte jetzt auch nicht wie man das anders machen kann.
Gruß
Claus
ich habe eine WebApp welche per Ajax ein PHP Script aufruft um Daten aus einer Tabelle zu lesen. Nun soll es möglich sein, dass der Benutzer in einem Textfeld einen beliebigen Suchstring eingeben kann nach dem in jeder Spalte der Tabelle gesucht wird. Pronzipiell kein Problem aber dadurch bin ich dann offen für SQLInjection denn ich wüßte nicht, wie ich den HAVING String aufbauen soll ohne das dort alles mögliche drin stehen kann.
Also mal ganz einfach als Beispiel
Code:
$sWhere = "";
if ( isset($_POST['search']) && $_POST['search'] != "" )
{
$sWhere = "HAVING (";
for ( $i=0 ; $i<count($columns) ; $i++ )
{
$sWhere .= "`".$columns[$i]."` LIKE '%". $_POST['search']."%' OR ";
}
$sWhere = substr_replace( $sWhere, "", -3 );
$sWhere .= ')';
}
wäre ja eine perfekte Lücke oder? Aber ich wüßte jetzt auch nicht wie man das anders machen kann.
Gruß
Claus