Hallo Klaus,
diese Prüfung wird dir kaum Sicherheit verschaffen (siehe Post von Pingu).
Wenn du das Skript nur zur Übung schreibst - schreib es doch gleich sicher... dann kannst du beim nächsten Projekt auf dieses Skript zurückgreifen und läufst nicht Gefahr eine (wirklich grobe) Sicherheitslücke blind zu übernehmen.
Übergib doch einfach den wirklich benötigten Parameter an dein Skript:
PHP-Code:
script.php?job=manager
Wenn du jetzt noch $_GET['job']/$_POST['job'] auf gültige Werte überprüfst und dann das SQL-Satement zusammenbaust, hast du die Möglichkeit auf einen Angriff sehr stark eingeschränkt.
PHP-Code:
$possibleJobs = array('manager', 'programmer', 'handyman');
if (!in_array($_GET['job'], $possibleJobs)) {
die('Wrong parameter value for: job');
}
...
Grüße,
nEox
Lesezeichen