SQL Injections - fullQuoteStr, warum TABLE-Attribute?

  • DrHase DrHase
    T3PO
    0 x
    11 Beiträge
    0 Hilfreiche Beiträge
    30. 11. 2012, 12:23

    Hallo zusammen,

    in der TYPO3 Core gibt es eine Funktion (fullQuoteStr)

    1. function fullQuoteStr($str, $table) {
    2. return '\'' . mysql_real_escape_string($str, $this->link) . '\'';
    3. }

    Jetzt meine Frage, wozu wird das Table-Attribute benötigt, es wird doch gar nicht in der Funktion verwendet?????????? :o


  • 1
  • LuP LuP
    Jedi-Meister
    0 x
    496 Beiträge
    1 Hilfreiche Beiträge
    30. 11. 2012, 15:35

    Hallo,

    der zweite Parameter ist notwendig, um eine externe Tabelle ansprechen zu können. Sollte die DB eine andere als MySQL sein, müsste man diese Funktion so anpassen, dass sich der entsprechende DB-Handler und die geeignete Methode fürs [i]Quote String[/i] finden lassen.

    VG,
    LuP

  • 1