Hallo,
wundert mich, ich habe hier im Forum noch nichts darüber gefunden?
Egal, fange ich mal an:
http://de.wikipedia.org/wiki/SQL-Injection
Sollte sich eh mal jeder durchlesen.
Bei PHP gibt es ja
mysql_real_escape_string()
Wobei bei Abfragen:
Dies benutzt werden sollte:
Und ab PHP 5.1 folgendes:
Was ich aber nicht verstanden habe, was mach denn mysql_real_escape_string wirklich mit den $_POST / $_GET Daten?
Und was ist, wenn man diese Daten vorher fest definiert?
Also Beispielsweise Egal ob $_POST oder $_GET. ich wandle diese generell in eine Variable $vari1=$POST['vari1']; $vari2=$POST['vari2']; um. Sind dann Injections auch möglich?
Kennt jemand evtl. noch einen guten Link im Internet, der sich näher mit diesem Thema beschäftigt?
Wie löst Ihr diese Dinge?
Danke für Antworten!
Gruß, Micha
wundert mich, ich habe hier im Forum noch nichts darüber gefunden?
Egal, fange ich mal an:
http://de.wikipedia.org/wiki/SQL-Injection
Sollte sich eh mal jeder durchlesen.
Bei PHP gibt es ja
mysql_real_escape_string()
Wobei bei Abfragen:
PHP-Code:
$abfrage = "SELECT spalte1 FROM tabelle WHERE spalte2 = '".$_POST['spalte2Wert']."'";
$query = mysql_query($abfrage) or die("Datenbankabfrage ist fehlgeschlagen!");
PHP-Code:
$abfrage = "SELECT spalte1 FROM tabelle WHERE
spalte2 = '".mysql_real_escape_string($_POST['spalte2Wert'])."'";
$query = mysql_query($abfrage) or die("Datenbankabfrage ist fehlgeschlagen!");
PHP-Code:
$dbh->exec("INSERT INTO REGISTRY (name, value) VALUES (".$dbh->quote($name,PDO::PARAM_STR).", ".$dbh->quote($value,PDO::PARAM_INT).")");
Was ich aber nicht verstanden habe, was mach denn mysql_real_escape_string wirklich mit den $_POST / $_GET Daten?
Und was ist, wenn man diese Daten vorher fest definiert?
Also Beispielsweise Egal ob $_POST oder $_GET. ich wandle diese generell in eine Variable $vari1=$POST['vari1']; $vari2=$POST['vari2']; um. Sind dann Injections auch möglich?
Kennt jemand evtl. noch einen guten Link im Internet, der sich näher mit diesem Thema beschäftigt?
Wie löst Ihr diese Dinge?
Danke für Antworten!
Gruß, Micha
Kommentar