php.de - Einzelnen Beitrag anzeigen - mysql_real_escape_string / Sicherheit

wassereimer · 10.05.2009, 12:49

Danke erstmal für diese Umfangreiche Antwort und für deine Beteiligung hierbei.

Dann bin ich schon mal einen Schritt weiter...
Ich habe nun eine kleine Funktion dazu geschrieben...

Bevor ein Kommentar hierzu kommt: Wie kann ich eine Funktion beenden?
Hab ich das richtig gemacht? Wird diese Meldung dann ausgegeben?
Ich wollte die Überprüfung, ob das Script nicht direkt aufgerufen wurde, sondern nur von einem weiterem Script eingebunden wurde, gerne mit in die Funktion einbauen...

PHP-Code:

  <?php
function protect($var, $typ)
{
  if (realpath($_SERVER['SCRIPT_FILENAME']) === realpath(__FILE__)) {
      die("Meldung");
  }

  if(get_magic_quotes_gpc()==1 && get_magic_quotes_gpc()) {
      $var = stripslashes($var);
  }

  switch ($typ) {
    case "text":
      $var = mysql_real_escape_string($var);
    break;    
    case "zahl":
      $var = intval($var);
    break;
    case "pw":
      $var = mysql_real_escape_string(md5($var));
    break;
  }
  
  return $var;
}
?>

Den Punkt mit dem Passwort habe ich geändert... Dies geht nun auch durch mysql_real_escape_string.

Was ich bei den magic_quotes meinte war, das ich öfters schon gelesen habe, das es zu Fehlern kommen kann wenn man einfach nur stripslashes macht bei eingeschaltetem magic_quotes...
Weil stripslashes dann auch zu viel entfernen kann...

Wo ist denn der Unterschied zwischen intval($var) und (int)$var?
Den einzigen den ich bisher im Netz finden konnte war, dass die Geschwindigkeiten variieren. Und intval soll davon die schnelle sein... (Quelle)

Lg
wassereimer

10.05.2009, 12:49
wassereimer Erfahrener Benutzer Registriert seit: 06.04.2009 Beiträge: 105 PHP-Kenntnisse: Anfänger	Danke erstmal für diese Umfangreiche Antwort und für deine Beteiligung hierbei. Dann bin ich schon mal einen Schritt weiter... Ich habe nun eine kleine Funktion dazu geschrieben... Bevor ein Kommentar hierzu kommt: Wie kann ich eine Funktion beenden? Hab ich das richtig gemacht? Wird diese Meldung dann ausgegeben? Ich wollte die Überprüfung, ob das Script nicht direkt aufgerufen wurde, sondern nur von einem weiterem Script eingebunden wurde, gerne mit in die Funktion einbauen... PHP-Code: <?php function protect($var, $typ) { if (realpath($_SERVER['SCRIPT_FILENAME']) === realpath(__FILE__)) { die("Meldung"); } if(get_magic_quotes_gpc()==1 && get_magic_quotes_gpc()) { $var = stripslashes($var); } switch ($typ) { case "text": $var = mysql_real_escape_string($var); break; case "zahl": $var = intval($var); break; case "pw": $var = mysql_real_escape_string(md5($var)); break; } return $var; } ?> Den Punkt mit dem Passwort habe ich geändert... Dies geht nun auch durch mysql_real_escape_string. Was ich bei den magic_quotes meinte war, das ich öfters schon gelesen habe, das es zu Fehlern kommen kann wenn man einfach nur stripslashes macht bei eingeschaltetem magic_quotes... Weil stripslashes dann auch zu viel entfernen kann... Wo ist denn der Unterschied zwischen intval($var) und (int)$var? Den einzigen den ich bisher im Netz finden konnte war, dass die Geschwindigkeiten variieren. Und intval soll davon die schnelle sein... (Quelle) Lg wassereimer __________________ Wer fragt ist ein Narr - für 5 Minuten. Wer nicht fragt ist ein Narr - sein Leben lang. Die deutsche Sprache ist Freeware, jeder darf sie kostenlos nutzen. Sie ist jedoch nicht OpenSource und eigenmächtige Veränderungen sind nicht gestattet. Geändert von wassereimer (10.05.2009 um 12:56 Uhr).