kostenloser Webspace werbefrei: lima-city


MYSQL Datenbank(sicherster Weg)

lima-cityForumProgrammiersprachenPHP, MySQL & .htaccess

  1. Autor dieses Themas

    h******d

    Hallo,

    Ich bin noch sehr unvertraut mit PHP und möchte aber eine Datenbank haben die sehr sicher ist(vorallem gegen SQL-Injections). Ich hatte ein bisschen gegoogelt und die meisten Empfehlungen waren die PDO's zu nutzen. Was ist eurer Meinung der sicherste Weg?

    Eine Erklärung wäre hilfreich,warum dieser Weg der sicherste ist!
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. hackyourlife

    Moderator Kostenloser Webspace von hackyourlife

    hackyourlife hat kostenlosen Webspace.

    Zum sichern gegen SQL-Injection kannst du
    mysql_real_escape_string()
    verwenden, wenn du Benutzereingaben in deine SQL-Queries einbaust.
  4. hackyourlife schrieb:
    Zum sichern gegen SQL-Injection kannst du
    mysql_real_escape_string()
    verwenden, wenn du Benutzereingaben in deine SQL-Queries einbaust.



    Das wird so prinzipiell nicht ausreichen.
    Denn die gespeicherten Daten sollen wahrscheinlich auch irgendwann mal ausgegeben werden. Eine weithin unterschätzte Gefahr neben SQL Injections ist Crossside Scripting.
    Es gibt einige Leitfäden, wie man die Datenbanknutzung sicher und effizient gestalten kann, ohne dabei auf Komfort oder ähnliches verzichten zu müssen.
    Es gibt ganze Klassen, die nur dafür entwickelt wurden.


    Ein paar Links... Mal mit, mal ohne Kommentar. :P
    Immer gut: http://dev.mysql.com/doc/refman/5.1/de/security-guidelines.html
    http://www.developers-guide.net/c/172-sichere-php-web-applikationen-schreiben.html
    http://www.cms-sicherheit.de/php-sicherheitsprobleme/sql-injektion.html
    Ein paar allgemeine Tips: http://www.danielfett.de/internet-und-opensource,artikel,web-sicherheit
    ( Ich stimme nicht mit allem überein was hier gepostet wird, aber es gibt einige Ideen... )
    etc. pp.

    Google kennt einige gute Quellen zu soetwas. :)


    Lese und lerne, junger Padawan.



    edit:
    @ hackyourlife: Schön, dass du das nach meinem Post erwähnst. Ich habe lediglich gesagt, dass es so nicht reicht und dementsprechend ergänzt. ;)

    Beitrag zuletzt geändert: 22.6.2012 14:36:02 von adrians
  5. hackyourlife

    Moderator Kostenloser Webspace von hackyourlife

    hackyourlife hat kostenlosen Webspace.

    adrians schrieb:
    Denn die gespeicherten Daten sollen wahrscheinlich auch irgendwann mal ausgegeben werden. Eine weithin unterschätzte Gefahr neben SQL Injections ist Crossside Scripting.
    Das ist bereits durch Verwendung von
    htmlentities()
    bei der Ausgabe behoben.
  6. Ich halte es für fast schon sträflich auf so eine Frage mit dem posten eines einzelnen PHP Befehls zu antworten. Nett formuliert.

    Ich würde dir wie adrians empfehlen dich erst mal generell in die Materie einzuarbeiten. Anbei ein paar Links die helfen sollten:
    http://typo3.org/documentation/document-library/guides/doc_guide_security/1.0.1/view/1/4/
    http://phpsec.org/projects/guide/
    http://php.robm.me.uk/

    Was reine DB Injections angeht kannste dir auch noch mal MySQLi und prepared statements anschauen. Generell würde ich aber empfehlen das Rad nicht neu zu erfinden (es sei denn für den Lerneffekt), sondern auf Frameworks bzw. CMS zurückzugreifen. Die haben meist eine ausgeklügelte Logik in allen Aspekten von Sicherheit: Seesionhandling, Input Sanitizing, Abstraction, Logging, etc.
  7. Autor dieses Themas

    h******d

    Vielen Dank euch alle,werde mir die geposteten links durchlesen und auch mal in verschiedene OpenSource Projekte die auf MYSQL zurückgreifen ansehen.
  8. Bitte die Suche verwenden, Thema wurde schon sehr häufig hier angesprochen.

    Bspw: http://www.lima-city.de/board/action:jump/1049524

    Closed.

    edit by Syberpsace: hiermit geschlossen.

    Beitrag zuletzt geändert: 26.6.2012 16:56:33 von syberpsace
  9. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!