php.de

Zurück   php.de > Webentwicklung > PHP Einsteiger > PHP Tipps 2004-2
SQL Injection Frage SQL Injection Frage
Wiki Registrieren Grundlagen Suchen Heutige Beiträge Alle Foren als gelesen markieren

 
 
LinkBack Themen-Optionen Thema bewerten
Alt 30.12.2004, 18:40  
Ypsillon
Gast
 
Beiträge: n/a
Standard SQL Injection Frage
Hi,

ich hab seit 3 Stunden folgendes Dilemma in mir *s*:

Diese beiden Fuctionen sollen SQL Injection unterbinden:
Code:
function sqlSafeString($param) {
    // Hier wird wg. der grossen Verbreitung auf MySQL eingegangen
    return (NULL === $param ? "NULL" : '"'.mysql_escape_string ($param).'"');
  }

  function sqlSafeInt($param) {
    return (NULL === $param ? "NULL" : intVal ($param));
  }
So, nun meine Frage:

1) Muss ich alle Variablen durch diese Fuktionen jagen oder nur die Bedingungsvariablen hinter WHERE? Auch das "adminsuxx", oder nur "userxy"?

Code:
update account
  set password= 'adminsuxx'
  where username='userxy';
2) Muss ich mich nur beim Update Befehl schützen, oder auch bei Select oder Insert?

Danke!

Marc
 
Sponsor Mitteilung
PHP Code Flüsterer

Registriert seit: 21.08.2005
Beiträge: 4682
PHP-Kenntnisse:
Fortgeschritten

Alt 30.12.2004, 20:27  
Erfahrener Benutzer
 
Registriert seit: 29.10.2004
Beiträge: 1.783
derHund
Standard
Zitat:
Muss ich alle Variablen durch diese Fuktionen jagen oder nur die Bedingungsvariablen hinter WHERE? Auch das "adminsuxx", oder nur "userxy"?
alle! texte mit mysql_real_escape_string() und zahlen einfach nach int casten ... (int)$_POST[...] ... wie du es schon hast.

Zitat:
Muss ich mich nur beim Update Befehl schützen, oder auch bei Select oder Insert?
bei allen, bei denen du daten, die vom user kommen, in den query-string einbaust.
__________________
derHund ist offline  
Alt 30.12.2004, 22:15  
Ypsillon
Gast
 
Beiträge: n/a
Standard
Zitat:
Zitat von derHund
Zitat:
Muss ich alle Variablen durch diese Fuktionen jagen oder nur die Bedingungsvariablen hinter WHERE? Auch das "adminsuxx", oder nur "userxy"?
alle! texte mit mysql_real_escape_string() und zahlen einfach nach int casten ... (int)$_POST[...] ... wie du es schon hast.

Zitat:
Muss ich mich nur beim Update Befehl schützen, oder auch bei Select oder Insert?
bei allen, bei denen du daten, die vom user kommen, in den query-string einbaust.
Hi,

ja das mit den INTS habe ich verstanden, nur mit den Stings tue ich mir sehr schwer. Mit der Funktion oben verseiht er alle Strings mit "Gänsefüschen"-> "String".


Leider habe ich dann aber das Problem, das ich das in meinem SQL Befehl nicht verwenden kann:

Code:
UPDATE `user` SET `UserPass` = '$regpassword',`UserMail` = '$regemail'.....
Statt den " verwende ich immer ', ist das dann einfach mit einem \"Saveint\" gelöst? Oder muss ich da noch was beachten?
Verstehst Du was ich meine?

Danke! Is echt nett von dir!

Marc
 
Alt 31.12.2004, 00:30  
Ypsillon
Gast
 
Beiträge: n/a
Standard
erledigt!
 
 

« Problem: PHP schreibt immer notizen mit auf | Warum findet er Bilder nicht? »

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an
Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Frage zur dauerhaften voting sperre! litterauspirna PHP Tipps 2008 19 29.05.2008 16:19
Frage zu Session SmileMan PHP Tipps 2008 1 08.10.2007 11:22
Sql Injection durchführen? Matthiasnet PHP Tipps 2007 10 21.06.2007 21:16
Smarty frage: switch($action) PHP Tipps 2007 5 30.12.2006 18:07
Frage zu einem mySQL/php/html Konstrukt <Daniel> PHP Tipps 2006 5 11.07.2006 16:07
[Erledigt] Dependency/Property Injection Off-Topic Diskussionen 1 18.05.2006 10:52
Frage zu grafiken JohnRambo PHP Tipps 2005-2 23 16.08.2005 20:57
[PDO] Frage zur Portabilität freq.9 PHP-Fortgeschrittene 2 29.07.2005 13:28
[Erledigt] Performence Frage PHP-Fortgeschrittene 10 06.05.2005 19:00
Frage zu einem Editformular PHP Tipps 2005 3 25.04.2005 14:58
mal ne Frage PHP Tipps 2005 7 14.04.2005 09:46
Technische Frage zur Realisation einer Online-Umfrage Stefano PHP Tipps 2005 5 16.03.2005 17:39
[Erledigt] Frage zur Funkrionen? PHP Tipps 2004-2 10 01.12.2004 09:42
[Erledigt] Frage! PHP Tipps 2004 4 27.07.2004 11:25
[Erledigt] fputs frage PHP Tipps 2004 2 16.07.2004 19:26

Besucher kamen über folgende Suchanfragen bei Google auf diese Seite
sql injection rechtliche folgen, sql injection von innen, sql injection befehle

Alle Zeitangaben in WEZ +1. Es ist jetzt 10:49 Uhr.

php.de - Das deutsche PHP-Forum - Kontakt - Impressum - Forenregeln - Archiv - Nach oben



Powered by vBulletin® Version 3.7.2 (Deutsch)
Copyright ©2000 - 2012, Jelsoft Enterprises Ltd.
Search Engine Optimization by vBSEO 3.2.0
Aprilia-Forum, Aquaristik-Forum, Liebeskummer-Forum, Zierfisch-Forum, Geizkragen-Forum

Creative Commons License
Dieser Inhalt ist unter einer Creative Commons-Lizenz lizenziert.