[Erledigt] Ist das mysqlQuerry so richtig abgesichert?

konfusius · 21.10.2011, 18:07

moin moin,

ich frag mich grade, ob ich in meinem script die funktion mysql_real_escape_string() richtig angewendet habe bzw., ob ich noch mehr machen müsste, um alles gegen SQLInjections abzusichern.

PHP-Code:

  <? session_start(); 

    $angebotsnummer = $_GET['angebotsnummer'];

    

    

    

?>

<html>

<head>

<link rel="stylesheet" type="text/css" href="test-index.css">

</head>

 
 
<body>

 
<div id="wrapper">

 
    <div id="kopf">

        

        <div id="firma">

        

        </div>

        

        <div id="logo">

        </div>

    

    </div>

    

    <div id="content">

        <div id="einleitung">

        

        

        <div id="stellenangebote">

        

        <? $db_host ="localhost";

                $db_user ="root";

                $db_pwd ="produktion2011";

                $db_name="stellenangebote";

        

 
                $verbindung = @mysql_connect($db_host, $db_user, $db_pwd);

                mysql_select_db($db_name, $verbindung)or die ("Datenbank konnte nicht SELECTed werden: " .mysql_error()); 

                

                

                        

            echo '    <div id="angebot">';

                    echo '<div id="hinweis">Chiffre:'.$angebotsnummer.'<br></div>';

                    echo'<br>';

                $sql= sprintf("SELECT datum, stellenbezeichnung, stellenbeschreibung, ort, vztz, anforderungen, angebot, frist  FROM angebote WHERE angebotsnummer ='%s'", mysql_real_escape_string($angebotsnummer));

        $result=mysql_query($sql,$verbindung);

        $i=0;

        echo mysql_error();

        $aus=mysql_fetch_array($result);

                   $daten[$i][0]=$i;

hat jemand einen tip, oder ist alles okay und sicher?!

thanx!

Capfly · 21.10.2011, 18:09

Ist der String eine Zahl kannst du zusätzlich intval() benutzen

nikosch · 21.10.2011, 18:12

Zitat:

Zitat von Capfly

Ist der String eine Zahl kannst du zusätzlich intval() benutzen

Die Aussage ist schlecht formuliert. Ist der Zielkontext eine nicht durch Hochkommata umschlossene Zahlentypangabe, musst Du stattdessen (nicht zusätzlich) intval (oder vergleichbare Prinzipien) verwenden. real_escape bringt dort keine Sicherheit.

http://aktuell.de.selfhtml.org/artik...ontextwechsel/

konfusius · 21.10.2011, 18:29

hey vielen dank an Euch beide!
ich werd mir heute abend mal den artikel zum thema kontextwechsel mal zu gemüte führen.

lg & ein schönes bugfreies wochenende!

nikosch · 21.10.2011, 18:31

Gleichfalls.

PS: An das Fehlermanagement musst Du aber auf jeden Fall noch ran. or die() hat in der Produktivumgebung nichts verloren. Datenbankfehler (und damit mögliche Schwachstellen) gehen den Endnutzer nichts an.

konfusius · 21.10.2011, 18:32

eine frage noch:

%s und %n --- wann benutzt man was? darauf wird im manual komischerweise garnicht eingegangen.

nikosch · 21.10.2011, 18:37

Doch? sprintf

konfusius · 21.10.2011, 18:58

mist.

doch noch zum klops gemacht.

ich hab nämlich auf der manpage von mysql_real_escape_string gesucht. ähm...naja. trottel halt.

danke.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[Erledigt] Darstellung der Umlaute nicht immer Richtig	Eisenbahner	PHP Einsteiger	8	14.03.2011 21:29
[Erledigt] Mysql Insert richtig maskieren	Haxley	Datenbanken	12	24.02.2011 21:00
[Erledigt] OOP - Klassen richtig Designen, aber wie?	Yamo	PHP Einsteiger	8	01.01.2011 12:03
Bild_upload mit mysql funktioniert nicht richtig?	Zapper	PHP Tipps 2010	22	08.10.2010 23:51
Richtig Newsletter versenden.	J_Jara	PHP Tipps 2010	4	21.09.2010 19:52
[Erledigt] FTP und MySQL funktioniert nicht mehr richtig	JackSparrow	PHP Tipps 2010	2	06.06.2010 20:54
CSS-Datei nicht richtig eingebunden.	Paul.Schramenko	HTML, Usability und Barrierefreiheit	2	24.04.2010 08:56
Datenbank richtig aufgebaut?	bageleudi	Datenbanken	2	31.03.2010 21:01
Umlaute mit Request richtig übertragen	Lebenssonde	JavaScript, Ajax und mehr	4	28.07.2009 15:10
parameter von interfaces in klassen richtig mit anwenden?	litterauspirna	PHP Tipps 2009	27	30.06.2009 20:58
[Erledigt] Javascript-Code in einem document.write richtig durchführen + richtiges Po	BartTheDevil89	JavaScript, Ajax und mehr	15	29.11.2008 14:08
PNG's werden im IE6 nicht richtig angezeigt!	litterauspirna	Off-Topic Diskussionen	6	15.09.2008 15:13
PHP richtig lernen!	TeazY	PHP Tipps 2008	5	01.02.2008 21:50
[Erledigt] Modularisierung: Wie macht man es richtig?		PHP-Fortgeschrittene	1	12.03.2006 16:00
Variable wird nicht richtig übergeben		PHP Tipps 2005	17	16.01.2005 16:51

21.10.2011, 18:07
konfusius Erfahrener Benutzer Registriert seit: 15.02.2011 Beiträge: 102 PHP-Kenntnisse: Anfänger	[Erledigt] Ist das mysqlQuerry so richtig abgesichert? moin moin, ich frag mich grade, ob ich in meinem script die funktion mysql_real_escape_string() richtig angewendet habe bzw., ob ich noch mehr machen müsste, um alles gegen SQLInjections abzusichern. PHP-Code: <? session_start(); $angebotsnummer = $_GET['angebotsnummer']; ?> <html> <head> <link rel="stylesheet" type="text/css" href="test-index.css"> </head> <body> <div id="wrapper"> <div id="kopf"> <div id="firma"> </div> <div id="logo"> </div> </div> <div id="content"> <div id="einleitung"> <div id="stellenangebote"> <? $db_host ="localhost"; $db_user ="root"; $db_pwd ="produktion2011"; $db_name="stellenangebote"; $verbindung = @mysql_connect($db_host, $db_user, $db_pwd); mysql_select_db($db_name, $verbindung)or die ("Datenbank konnte nicht SELECTed werden: " .mysql_error()); echo ' <div id="angebot">'; echo '<div id="hinweis">Chiffre:'.$angebotsnummer.'<br></div>'; echo'<br>'; $sql= sprintf("SELECT datum, stellenbezeichnung, stellenbeschreibung, ort, vztz, anforderungen, angebot, frist FROM angebote WHERE angebotsnummer ='%s'", mysql_real_escape_string($angebotsnummer)); $result=mysql_query($sql,$verbindung); $i=0; echo mysql_error(); $aus=mysql_fetch_array($result); $daten[$i][0]=$i; hat jemand einen tip, oder ist alles okay und sicher?! thanx!


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

21.10.2011, 18:09
Capfly Erfahrener Benutzer Registriert seit: 25.01.2009 Beiträge: 1.027 PHP-Kenntnisse: Fortgeschritten	Ist der String eine Zahl kannst du zusätzlich intval() benutzen __________________ MfG ~Capfly Jetzt NEU! Cpix & Wbits Katahlan.de - Das Browsergame

21.10.2011, 18:29
konfusius Erfahrener Benutzer Registriert seit: 15.02.2011 Beiträge: 102 PHP-Kenntnisse: Anfänger	hey vielen dank an Euch beide! ich werd mir heute abend mal den artikel zum thema kontextwechsel mal zu gemüte führen. lg & ein schönes bugfreies wochenende!

21.10.2011, 18:31
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.987 PHP-Kenntnisse: Fortgeschritten	Gleichfalls. PS: An das Fehlermanagement musst Du aber auf jeden Fall noch ran. or die() hat in der Produktivumgebung nichts verloren. Datenbankfehler (und damit mögliche Schwachstellen) gehen den Endnutzer nichts an. __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

21.10.2011, 18:32
konfusius Erfahrener Benutzer Registriert seit: 15.02.2011 Beiträge: 102 PHP-Kenntnisse: Anfänger	eine frage noch: %s und %n --- wann benutzt man was? darauf wird im manual komischerweise garnicht eingegangen.

21.10.2011, 18:37
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.987 PHP-Kenntnisse: Fortgeschritten	Doch? sprintf __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

21.10.2011, 18:58
konfusius Erfahrener Benutzer Registriert seit: 15.02.2011 Beiträge: 102 PHP-Kenntnisse: Anfänger	mist. doch noch zum klops gemacht. ich hab nämlich auf der manpage von mysql_real_escape_string gesucht. ähm...naja. trottel halt. danke.