sichere Datenbankanfragen
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
adresse
arve
befehl
datenbank
eingabe
entfernung
extra
fehler
fragezeichen
funktion
injection
insert
manipulation
manual
null
relevanz
sonderzeichen
stehen
tabelle
tag
-
Mit tag/sonderzeichen">Sonderzeichen in Variablen kann man Datenbankanfragen manipulieren.
z.B.
mysql_query("INSERT INTO `tabelle` VALUES ( 1 , '$text', '$variable')");
Welche Sonderzeichen m?ssen aus Variablen (z.B. $text) gefiltert werden um Crackern die Manipulation zu erschweren?
mfg
Arve -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Die Html-Tags sind ja nicht von Relevanz. Mir sind nur Sonderzeichen wichtig, mit denen man die 'Query' ver?ndern kann.
(f?r Entfernung von HTML-tags: strip_tags() )
Ich habe irgendwann mal irgendwo gelesen, dass man auf jeden Fall Fragezeichen(?) umwandeln sollte. Was ist da dran?
mfg
Arve -
Naja, wenn es hier um beispielsweise Adressen geht, ja. Beispielsweise http://arve.pyrokar.lima-city.de/index.php k?nnte mit einem fragezeichen zu http://arve.pyrokar.lima-city.de/index.php?query="CODE" werden. Wenn dann eine Varibale Query hei?t k?nnte das zu Fehlern f?hren, und ein falsches Query ausgef?hrt werdne oder ?hnlcihes.
Ansonsten habe ich dir oben doch auch Sonderzeichen geschrieben die du rausnehmen solltest? o.O -
Naja, wenn es hier um beispielsweise Adressen geht, ja. Beispielsweise http://arve.pyrokar.lima-city.de/index.php k?nnte mit einem fragezeichen zu http://arve.pyrokar.lima-city.de/index.php?query="CODE" werden. Wenn dann eine Varibale Query hei?t k?nnte das zu Fehlern f?hren, und ein falsches Query ausgef?hrt werdne oder ?hnlcihes.
Ansonsten habe ich dir oben doch auch Sonderzeichen geschrieben die du rausnehmen solltest? o.O
Bl?dsinn!
Es reicht wenn man die Funktion "mysql_escape_string ()" anwendet, der Rest ist ?berfl?ssig und sinnlos.
MfG Lucas -
Wenn magic_quotes auf On steht, dann werden doch die einfachen Anf?hrungszeichen automatisch escaped. Dann brauche ich doch nichts mehr pr?fen?
-
phattek schrieb:
Wenn magic_quotes auf On steht, dann werden doch die einfachen Anf?hrungszeichen automatisch escaped. Dann brauche ich doch nichts mehr pr?fen?
Ja (na ja, Kurzpost, aber was soll man sonst noch dazu sagen? lol) -
Falsch. "magic_quotes" hat nichts mit Datenbanken zu tun. Nur mysql_real_escape_string() wei? wirklich, welche Zeichen f?r die jeweilige MySQL-Version gef?hrlich werden k?nnen. Es sind einige mehr als die "Magic Quotes":
mysql_real_escape_string() ruft die MySQL Bibliotheksfunktion mysql_escape_string auf, diese stellt den folgenden Zeichen einen Backslash voran: NULL, \x00, \n, \r, \, ', " und \x1a.
http://de.php.net/manual/de/function.mysql-escape-string.php
http://www.php-faq.de/q/q-sql-injection.html
-
alopex schrieb:
Falsch. 'magic_quotes' hat nichts mit Datenbanken zu tun. Nur mysql_real_escape_string() wei? wirklich, welche Zeichen f?r die jeweilige MySQL-Version gef?hrlich werden k?nnen. Es sind einige mehr als die 'Magic Quotes':
Was f?r Zeichen k?nnen den noch gef?hrlich werden, wenn man die Eingabe in '' stehen hat? -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
