| | | | |
| |||||||
| Datenbanken SQL und Co |
 |
| | LinkBack | Themen-Optionen | Thema bewerten |
06.01.2006, 14:52
| |
| Erfahrener Benutzer  Registriert seit: 05.02.2005
Beiträge: 278
 |  SQL Injektion verhindern? addslashes().. Wenn ich eine ID zur Datenmanipulation in der Browserzeile übergebe, z.B. w w w. adresse .de/?id=123 , könnte jemand darauf kommen sql-injektion zu betreiben, weil er vermuten würde , das die abfragen an eine SQL-DB gehen. Ich möchte so weit wie möglich Injektion-Versuche verhindern. Würde dazu die funktion addslashes() für die Behandlung der Vatiable ausreichen. Das Problem soll auch betrachtet werden wenn nicht ID als Zahl sondern als Zeichenkette auftritt. |
|  |
 | |
| PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten | |
|
06.01.2006, 14:54
| |
| Gast
Beiträge: n/a
| Wenn es sich um eine Zahl handelt (handeln muss), dann mach halt explizit eine draus. $id = intval($_GET['id']); oder $id = (int)$_GET['id']; |
| |
|
06.01.2006, 15:00
| |
| Erfahrener Benutzer Registriert seit: 05.02.2005
Beiträge: 278
| Jupp, das war mein 1. Gedanke aber wenn es nun Strings sind? Habe ich mit addslashes() Alles abgedekt oder gibt es da noch was zu beachten? |
|
| |
|
06.01.2006, 15:02
| |
| Gast
Beiträge: n/a
| Wenn Du weisst, dass es eine mysql Datenbank ist, dann nimm doch deren Funktionen. http://de2.php.net/manual/en/functio...ape-string.php |
| |
|
06.01.2006, 15:02
| |
| Gast
Beiträge: n/a
| alles rauschneiden was nicht a-zA-Z0-9-_ ist  |
| |
|
06.01.2006, 15:06
| |
| Erfahrener Benutzer Registriert seit: 05.02.2005
Beiträge: 278
| Danke Dir Bruchpilot, ich war wohl etwas übereifrig mit der Frage  Habe gerade einen Artikel bei Wikipedia entdekt http://de.wikipedia.org/wiki/SQL-Injection#PHP aber die Frage kommt sicher noch öfter. |
|
| |
|
06.01.2006, 15:21
| |
| Erfahrener Benutzer Registriert seit: 18.09.2003
Beiträge: 13.598
PHP-Kenntnisse: Fortgeschritten | In einem anderen Forum hatten wir auch mal über SQL-Injection gesprochen und es war wirklich interessant, wie unterschiedlich die Leute doch an das Thema rangehen. Die Diskussion findet man hier. Letztendlich kam aber auch der Link zum Wikipedia-Artikel vor . Hehe ..  |
|
| |
| |
| Themen-Optionen | |
| Thema bewerten | |
|
|
Ähnliche Themen | ||||
| Thema | Autor | Forum | Antworten | Letzter Beitrag |
| Ausführung von PHP-Scripten verhindern | Pimbolie1979 | PHP Tipps 2008 | 16 | 18.05.2008 20:45 |
| __set() verhindern das erzeugen einer neuen Variablen | shocky | PHP Tipps 2006 | 18 | 30.10.2006 14:35 |
| addslashes und stripslashes | PHP Tipps 2006 | 9 | 13.07.2006 09:27 | |
| zum mysql optimieren caching verhindern? | Anotherone | Datenbanken | 1 | 10.03.2006 21:17 |
| verhindern das bei aktualisieren eine aktion wiederholt wird | Crypi | PHP Tipps 2006 | 13 | 11.01.2006 11:53 |
| Zeilenumbruch in Tabelle verhindern | patr1k | HTML, Usability und Barrierefreiheit | 3 | 22.12.2005 11:24 |
| Externes Downloaden verhindern, aber streaming erlauben... | Server, Hosting und Workstations | 1 | 27.11.2005 11:39 | |
| html im formular verhindern | Aris Sung | PHP Tipps 2005-2 | 2 | 28.10.2005 19:27 |
| wie kann ich sowas verhindern? | havok | PHP Tipps 2005-2 | 14 | 18.10.2005 17:20 |
| Frage zu addslashes und stripslashes | PHP Tipps 2005-2 | 3 | 29.07.2005 14:01 | |
| [Erledigt] html im Formular verhindern? | PHP Tipps 2005 | 6 | 16.02.2005 18:00 | |
| addslashes bei md5() ? | bicpi | PHP Tipps 2007 | 2 | 04.01.2005 17:10 |
| Loginstatus / Neueinloggen verhindern, wenn schon online?!? | PHP Tipps 2004 | 2 | 30.07.2004 14:17 | |
| verhindern | HTML, Usability und Barrierefreiheit | 7 | 08.07.2004 15:53 | |
| doppel einträge in db verhindern? | themonk | PHP Tipps 2004 | 2 | 03.07.2004 14:26 |
Dieser Inhalt ist unter einer Creative Commons-Lizenz lizenziert.
