Verständnisfrage zum Datenbank-Zugriff per API

[DerWolf]

Hallo,

kann mir jemand sagen, wie sicher die Benutzung der Datenbank-API in Bezug auf ungefilterte Benutzer-Eingaben ist? Also z.B. wenn ich in einer Tabelle Benutzereingaben speichern möchte, die während einer Session über ein Formular eingeben wurden:

PHP-Code:

$bemerkung = $_SESSION['bemerkung'];
$set = array
(
bemerkung => $bemerkung
);
$this->Database->prepare("INSERT INTO bemerkungen %s")
                ->set ($set)
                ->execute(); 


Wie sicher ist so etwas in Bezug auf SQL-Injection? Muss ich da noch selbst Hand anlegen, oder filtert Contao normalerweise alles gefährliche für die Datenbank heraus?

Viele Grüße,
DerWolf

[xtra]

wie du im Core code nachlesen kannst, werden die Parameter, welche du an set()[1] und execute()[2] ybergibst alle escaped[3].

Du bist somit vor SQL Injections ersmal geschytzt.

Das aufraeumen von Werten, welche vom User kommen, ybernimmt jedoch die Input Klasse.
Diese pfriemelt sehr vieles an XSS und aehnlichen Versuchen heraus und sollte daher auch im Formular verwendet werden.

Wenn du die Daten von ausserhalb in die Session geschubst hast, solltest du dir yberlegen, ob du das nicht doch besser innerhalb des Contao Frameworks machen willst.

Gruss
Chris

[1] http://dev.contao.org/projects/typol...abase.php#L521
[2] http://dev.contao.org/projects/typol...abase.php#L580
[3] http://dev.contao.org/projects/typol...abase.php#L687