1.2. SQLinjection
SQLinjections erragen in der Szene großes Ansehen und werden nahezu tagtäglich an Retros ausprobiert. Die Erklärung ist ganz simpel:
Bevor ein Wert in eine Datenbank-Tabelle eingetragen oder geupdatet werden kann, sollte er davor "escaped" werden. Ist dies jedoch nicht der Fall, so kann der Angreifer Befehle über diesen Wert ausführen lassen.
Wer OOP beherrscht, sollte ohnehin PDO anstelle von mysqli verwenden. Dank prepared statements ist auch die Gefahr für SQLinjection von Grund auf viel tiefer. Natürlich setzt es das korrekte Anwenden von PDO voraus. PDO funktioniert nebenbei bemerkt nur Objektorientiert, ein weiterer Grund das ganze also zu lernen.