kostenloser Webspace werbefrei: lima-city


mysql Injektionen

lima-cityForumProgrammiersprachenPHP, MySQL & .htaccess

  1. Autor dieses Themas

    unlikus

    unlikus hat kostenlosen Webspace.

    Wenn ich aus allen Strings alle ' zu &#39 mache und alle Strings in query zwischen ' ' stehen, gibt es da noch eine Möglcihkeit für mysql injektion?
    Bin mir da nicht ganz sicher.
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. unlikus schrieb:
    Wenn ich aus allen Strings alle ' zu &#39 mache und alle Strings in query zwischen ' ' stehen, gibt es da noch eine Möglcihkeit für mysql injektion?
    Bin mir da nicht ganz sicher.
    du findest hier über 4mille gute tuts. mehr kann man auch hier nicht zeigen ;)
  4. Autor dieses Themas

    unlikus

    unlikus hat kostenlosen Webspace.

    Hab da auch schon gesucht, aber da steht immer nur man soll mysql_real_escape_string verwenden.

    Meine Frage ist ob es auch ohne geht, indem man ' zu & macht.
  5. unlikus schrieb:
    Hab da auch schon gesucht, aber da steht immer nur man soll mysql_real_escape_string verwenden.

    Meine Frage ist ob es auch ohne geht, indem man ' zu & macht.

    Benutze einfach PDO mit prepared statements. Dann musst du dir über SQL Injections keine Sorgen mehr machen.
  6. Autor dieses Themas

    unlikus

    unlikus hat kostenlosen Webspace.

    Finde das ist etwas zu umständlich, da ich jetzt schon jeden String durch eine Funktion schicke, die nur bestimmte Zeichen zulässt. Ich muss nur wissen, ob es noch andere Zeichen als ' gibt, die gefährlich werden können, wenn man Strings in den querys immer in ' ' schreibt
  7. unlikus schrieb:
    Hab da auch schon gesucht, aber da steht immer nur man soll mysql_real_escape_string verwenden.

    Meine Frage ist ob es auch ohne geht, indem man ' zu & macht.

    und
    unlikus schrieb:
    Finde das ist etwas zu umständlich, da ich jetzt schon jeden String durch eine Funktion schicke, die nur bestimmte Zeichen zulässt. Ich muss nur wissen, ob es noch andere Zeichen als ' gibt, die gefährlich werden können, wenn man Strings in den querys immer in ' ' schreibt


    Auch wenn es für dich umständlicher sein wird, solltest das Rad nicht neu erfinden. Die Leute, die mysql_real_escape_string() und das PDO-Modul geschrieben haben, verstehen wirklich etwas von der Materie und wissen daher viel besser als wir, was sicher ist und was nicht.

    Man kann sich natürlich den Kopf darüber zerbrechen, ob deine Strategie sicher ist. Aber selbst wenn du hier eine Antwort bekommst, wirst du selber nicht beurteilen können, ob diese Antwort auf solidem Hintergrundwissen oder gefährlichem Halbwissen basiert.

    Daher: Nimm PDO. Es dauert zwar sich einzulesen, aber damit hast du auf jeden Fall einen sehr hohen Sicherheitsstandard.

    Beitrag zuletzt geändert: 10.3.2013 14:25:25 von bladehunter
  8. unlikus schrieb:
    Hab da auch schon gesucht, aber da steht immer nur man soll mysql_real_escape_string verwenden.
    und es gibt dort allerhand beispiele, die es dir zu erklären suchen die mechanismen zu verstehen. wie viele beispiele hast du dir angesehen??
    Meine Frage ist ob es auch ohne geht, indem man ' zu & macht.
    ein testprog dazu zu schreiben dauert - wenn schon sehr lange - max.2min. tu es dir selber an und das ergebnis kannst du hier veröffentlichen.

    unlikus schrieb:
    Finde das ist etwas zu umständlich, da ich jetzt schon jeden String durch eine Funktion schicke, die nur bestimmte Zeichen zulässt. Ich muss nur wissen, ob es noch andere Zeichen als ' gibt, die gefährlich werden können, wenn man Strings in den querys immer in ' ' schreibt
    das eine ' hat mit dem anderen ' nichts zu tun! wenn es steht zb.: $var = '... \'... '; das in der mitte kann es dann schon in sich haben!

    nimm dir einfach die google-liste, die ich dir geschickt habe vor und sehe dir den ersten (1.!!) treffer an. lese es durch so lange du es endlich verstanden hast, dann kann hier die unnötige fragerei wegen & einfach aufhören.
  9. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!