Huhu,das oben genannte ist ja für Strings, was nimmt man für Integer?
$sql "UPDATE beispieltabelle SET BeispielZahl = ".mysql_real_escape_string($_POST['Beispielfeld'])." WHERE Name ='pName'";Wäre Nett wenn mir das jemand anhand dieses Beispieles sagen könnte 
Liebe Grüße
intval($bla);
Das oben ist kein PHP.
$sql = "UPDATE beispieltabelle SET BeispielZahl = ".intval($_POST['Beispielfeld'])." WHERE Name = '".mysql_real_escape_string($pName)."'";Und man sollte MySQLi verwenden und nicht die mysql_ Funktionen.
Ich hatte dir bereits in diesem Thread vorgeschlagen PDO zu nutzen und gab dir auch ein Beispiel dafür.
Die alte MySQL Funktion wird bald garnicht mehr geben und dann kannst du dein ganzes System umschreiben.
PDO ist sicherer und dort brauchst du auch nichts escapen. 
Ich hatte dir bereits in diesem Thread vorgeschlagen PDO zu nutzen und gab dir auch ein Beispiel dafür.
Die alte MySQL Funktion wird bald garnicht mehr geben und dann kannst du dein ganzes System umschreiben.
PDO ist sicherer und dort brauchst du auch nichts escapen.
Wozu PDO?
Als "normale" Webaplikation brauchst du kein PDO, da reicht auch MySQLi.
Wozu PDO?
Als "normale" Webaplikation brauchst du kein PDO, da reicht auch MySQLi.
PDO ist um einiges sicherer sowie schneller.
jedoch auch wesentlich komplizierter.
Auch MYSQL i bietet objektorientierung. Somit stimme ich Slash hierbei nur zu.
PDO ist um einiges sicherer sowie schneller.
Also das halt ich schlichtweg für ein Gerücht.
Sicherer vielleicht, aber schneller wage ich doch sehr anzuzweifeln
Auch MYSQL i bietet objektorientierung.
PDOs auch.
Sicherer vielleicht, aber schneller wage ich doch sehr anzuzweifeln
Doch. angenommen du willst 10 Zeilen löschen, dann sendest du 1 mal den Query DELETE FROM c WHERE d = ? AND e = ?
Und musst nur 20 Werte senden anstatt 10 Querys mit unterschiedlichen d und e.
PDOs auch.
Doch. angenommen du willst 10 Zeilen löschen, dann sendest du 1 mal den Query DELETE FROM c WHERE d = ? AND e = ?
Und musst nur 20 Werte senden anstatt 10 Querys mit unterschiedlichen d und e.
Es ging mir darum zu sagen, dass mal mysqli verwenden kann und nur, damit man die Objekte nutzen kann nicht PDO nutzen muss.
Also das mysql eine objektorientierte Alternative ist.
PDO bietet nur Objekte soweit ich weiß
Doch. angenommen du willst 10 Zeilen löschen, dann sendest du 1 mal den Query DELETE FROM c WHERE d = ? AND e = ?
Und musst nur 20 Werte senden anstatt 10 Querys mit unterschiedlichen d und e.
Ja gut 
Bin davon ausgegangen, das er im Grunde was anderes meinte 
und irgendwie glaube ich, das er nicht das meinte, das du hier beschrieben hast - aber das sei mal dahin gestellt
Ob PDO oder MySQLi kann jeder für sich selbst entscheiden.
Da ich PDO nutze habe ich ihm auch mein Beispiel gegeben, was definitiv sicherer und besser ist als MySQL.
was definitiv sicherer und besser ist als MySQL.
Was benutzt du dann? SQLite ? MySQL ist der Dienst aber egal.
Ob es schneller ist sei mal dahin gestellt, aber was ist denn soo viel besser dass man es unbedingt nutzen soll/muss?
Was Atrox anspricht sind prepared Statements, die kann MySQLi genauso wie PDO, ich wage aber zu bezweifeln, dass sie für User Control Panel einen spürbaren Performanceboost bringen.
Was man einfach mal beachten sollte: MySQLi ist wie der Name schon sagt für MySQL, PDO für "Data Objects" - bietet also eine Abstraktionsschicht für verschiedene SQL-Datenbanken (beispielsweise SQLite, Postgre, ...) und das bei sehr wenig Overhead. Dieser wenige Overhead wird niemals in einem User Control Panel, um genau zu sein in wohl keiner Webapp, zu Problemen führen.
Was benutzt du dann? SQLite ? MySQL ist der Dienst aber egal.
Ob es schneller ist sei mal dahin gestellt, aber was ist denn soo viel besser dass man es unbedingt nutzen soll/muss?
Du bist wahrscheinlich nicht so dumm um zu wissen, dass ich die "normale" MySQL Funktion damit meinte. Für mich hat MySQLi und PDO keinen grossen Unterschied. Ich persöhnlich finde PDO am einfachsten und nutze es. Ich brauche jetzt nicht abstreiten, dass mySQLi besser oder was weiss ich was ist. Ich gab ihm ein Tipp auf MySQLi oder PDO umzusteigen und da ich PDO nutze gab ich ihm auch ein Beispiel davon. Wenn es was zu diskutieren gibt schreib mir ne PN
Mal so eine Frage wieso sollte man Zahlen escapen. Es ist ja auch möglich via php oder html zu überprüfen ob die Eingabe sich um eine Zahl handelt.
Mal so eine Frage wieso sollte man Zahlen escapen. Es ist ja auch möglich via php oder html zu überprüfen ob die Eingabe sich um eine Zahl handelt.
Dann bitte nur per php
if ( is_numeric($var) )
per html überprüfen wäre lächerlich. Würde nur clientseitig schnelle infos zeigen
