Frage zu addslashes und stripslashes

27.07.2005, 21:30

Abend Leute!

Ich betreibe ein Online-Auktionshaus dort hat es schon ein mal Probleme mit mysql inject's gegeben...

Damals trat der fehler beim einstellen/erstellen von Auktionen auf dieser wurde mit addslashes behoben.

Nur jetzt ergiebt sich folgendes Problem:

Es gibt eine PHP datei die die Ausgelaufenen Auktionen von der "Kategorie-Tabelle" in die "Ausgelaufenen-Tabelle" verschieben soll.
Jetzt ergiebt sich der selbe Fehler wie damals... Die Auktionen verschwinden einfach. Ich habe auch schon versucht einfach in der betreffenden datei das addslashes noch einmal einzufügen, allerdings ohne erfolg.

Könnte es sein das ich die stripslashes zu erst anwenden muss damit PHP mit den daten richtig umgehen kann?

Vielen Dank für die Hilfe im vorraus

Stephan

Kort · 28.07.2005, 00:09

Vorweg: Probleme mit SQL-Insections löst man mit mysql_real_escape_string()

Vielleicht handelt es sich gar nicht um eine Insection, sondern um ein schlampig geschriebenes PHP-Script...

saibot · 29.07.2005, 13:40

dazu hab ich nochmal ne Frage.

Ich krieg meine Benutzer-Eingaben aus nem Textfeld.
Die Variable wäre z.b. $text.

So, jetzt bearbeite ich meine Eingabe erstmal mit

PHP-Code:

  <?php

$text=magic_quotes_gpc(strip_tags($text)));

?>

Dann wird in dem Beispiel aus dem Handbuch erstmal abgefragt ob magic_quotes_gpc aktiviert ist, wenn ja wird stripslashes angewandt.

PHP-Code:

  <?php

if (get_magic_quotes_gpc()) {

       $value = stripslashes($value);

   }

?>

Dann wird der SQL Query ausgeführt.

So, jetzt meine Frage: Ist das dann nicht total schwachsinnig, das magic_quotes_gpc() anzuwenden, wenn die Slashes danach wieder mühsam entfernt werden müssen?
Kann ich das dann nicht gleich bleiben lassen und einfach nur mysql_real_escape_string() anwenden?

saibot · 29.07.2005, 14:01

hmmm..nochmal Frage zum Vorgehen.

- Ich lese mein Text aus dem Formular ein.
- Dann wende ich magic_quotes_gpc(), mysql_real_escape_string() und evtl. htmlentities() oder strip_tags() an.
Diesen bearbeiteten Text (also mit Slashes) schreibe ich mit Hilfe von sprintf in meine Datenbank.

- beim Auslesen muss ich nun Stripslashes anwenden

Stimmt das so weit?

Aber wen nich magic_quotes_gpc() und mysql_real_escape_string() anwende, machen die vom Prinzip her nicht dasselbe?

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Frage zu Typen und Performence	notyyy	PHP-Fortgeschrittene	13	14.11.2007 02:18
Frage zu Session	SmileMan	PHP Tipps 2008	1	08.10.2007 11:22
DNS Problem / Frage	b++	Server, Hosting und Workstations	3	12.10.2006 13:27
addslashes und stripslashes		PHP Tipps 2006	9	13.07.2006 09:27
stripslashes, addslashes, htmlentities etc	dsx	PHP Tipps 2006	8	21.05.2006 21:25
Access Frage - Datenbankverbindung abfragen	reimondo	Off-Topic Diskussionen	1	01.10.2005 18:24
[Erledigt] Einfache Frage!		Datenbanken	2	21.09.2005 08:27
[PDO] Frage zur Portabilität	freq.9	PHP-Fortgeschrittene	2	29.07.2005 13:28
Performence Frage		PHP-Fortgeschrittene	10	06.05.2005 19:00
Frage zu einem Editformular		PHP Tipps 2005	3	25.04.2005 14:58
mal ne Frage		PHP Tipps 2005	7	14.04.2005 09:46
Frage zu einer Liste?		HTML, Usability und Barrierefreiheit	2	15.02.2005 16:56
[Erledigt] Frage zur Funkrionen?		PHP Tipps 2004-2	10	01.12.2004 09:42
Frage zum Einfügen von Fotos		PHP Tipps 2004	11	26.09.2004 14:28
[Erledigt] Frage!		PHP Tipps 2004	4	27.07.2004 11:25

27.07.2005, 21:30
Gast Beiträge: n/a	Frage zu addslashes und stripslashes Abend Leute! Ich betreibe ein Online-Auktionshaus dort hat es schon ein mal Probleme mit mysql inject's gegeben... Damals trat der fehler beim einstellen/erstellen von Auktionen auf dieser wurde mit addslashes behoben. Nur jetzt ergiebt sich folgendes Problem: Es gibt eine PHP datei die die Ausgelaufenen Auktionen von der "Kategorie-Tabelle" in die "Ausgelaufenen-Tabelle" verschieben soll. Jetzt ergiebt sich der selbe Fehler wie damals... Die Auktionen verschwinden einfach. Ich habe auch schon versucht einfach in der betreffenden datei das addslashes noch einmal einzufügen, allerdings ohne erfolg. Könnte es sein das ich die stripslashes zu erst anwenden muss damit PHP mit den daten richtig umgehen kann? Vielen Dank für die Hilfe im vorraus Stephan


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

28.07.2005, 00:09
Kort Erfahrener Benutzer Registriert seit: 09.09.2004 Beiträge: 716 PHP-Kenntnisse: Anfänger	Vorweg: Probleme mit SQL-Insections löst man mit mysql_real_escape_string() Vielleicht handelt es sich gar nicht um eine Insection, sondern um ein schlampig geschriebenes PHP-Script... __________________ "Only wimps use tape backup: real men just upload their important stuff on ftp, and let the rest of the world mirror it." - Linus Torvalds, 1996

29.07.2005, 13:40
saibot Erfahrener Benutzer Registriert seit: 14.07.2005 Beiträge: 118	dazu hab ich nochmal ne Frage. Ich krieg meine Benutzer-Eingaben aus nem Textfeld. Die Variable wäre z.b. $text. So, jetzt bearbeite ich meine Eingabe erstmal mit PHP-Code: `<?php $text=magic_quotes_gpc(strip_tags($text))); ?>` Dann wird in dem Beispiel aus dem Handbuch erstmal abgefragt ob magic_quotes_gpc aktiviert ist, wenn ja wird stripslashes angewandt. PHP-Code: `<?php if (get_magic_quotes_gpc()) { $value = stripslashes($value); } ?>` Dann wird der SQL Query ausgeführt. So, jetzt meine Frage: Ist das dann nicht total schwachsinnig, das magic_quotes_gpc() anzuwenden, wenn die Slashes danach wieder mühsam entfernt werden müssen? Kann ich das dann nicht gleich bleiben lassen und einfach nur mysql_real_escape_string() anwenden?

29.07.2005, 14:01
saibot Erfahrener Benutzer Registriert seit: 14.07.2005 Beiträge: 118	hmmm..nochmal Frage zum Vorgehen. - Ich lese mein Text aus dem Formular ein. - Dann wende ich magic_quotes_gpc(), mysql_real_escape_string() und evtl. htmlentities() oder strip_tags() an. Diesen bearbeiteten Text (also mit Slashes) schreibe ich mit Hilfe von sprintf in meine Datenbank. - beim Auslesen muss ich nun Stripslashes anwenden Stimmt das so weit? Aber wen nich magic_quotes_gpc() und mysql_real_escape_string() anwende, machen die vom Prinzip her nicht dasselbe?