Injunction verhindern

Pimbolie1979 · 19.08.2008, 13:11

Hi @ all

Ich habe folgenden Quellcode gefunden:

if(get_magic_quotes_gpc())
{
array_stripslashes($_GET);
array_stripslashes($_POST);
array_stripslashes($_COOKIE);
}

Ist es dadurch möglich Injectionszu verhindern?

David · 19.08.2008, 13:14

Injunctions sind gerichtliche Verfügungen.
Du meinst Injections, Injektionen.

Und nein, der Code macht nur ein fehlgeleitetes Feature (schon zum Thema injections, aber eben Schrott) von PHP rückgängig (was array_stripslashes genau macht, wissen wir ohne den Code der Funktion oder einer Beschreibung nicht, aber dem Namen nach...)

Was suchst Du genau?

Pimbolie1979 · 19.08.2008, 13:20

Ich möchte verhindern, das jemand meine Datenbank manipuliert, indem er in einer Textbox Befehle sendet, die dann unerlaubt Daten ändert.

David · 19.08.2008, 13:30

Für (fast) jede Datenbankerweiterung findest Du eine spezialisierte Funktion, deren einzige Aufgabe es ist, Steuerzeichen zu maskieren.
Für mysql ist das mysql_real_escape_string, für mysqli mysqli::real_escape_string, für postgresql pg_escape_string usw usw

Oder Du verwendest prepared statements und die dazugehörigen bind-Funktionen. Beispiele mit PDO findest Du unter PHP: Prepared statements and stored procedures - Manual

HStev · 19.08.2008, 14:12

Nicht zu vergessen die Filter Funktions (PHP: filter_input - Manual) seit PHP 5.2.0 ... wodurch sich die User eingaben auch noch direkt validieren lassen.

cycap · 19.08.2008, 14:39

Das Thema ist alles andere als fortgeschrittene Programmierung, das sind Grundlagen, dehalb

verschoben

David · 20.08.2008, 10:17

Zitat:

Zitat von HStev

Nicht zu vergessen die Filter Funktions (PHP: filter_input - Manual) seit PHP 5.2.0 ... wodurch sich die User eingaben auch noch direkt validieren lassen.

Das eignet sich aber nicht als Ersatz für die escape_string-Funktionen. Validierung und transport encoding sind zwei unterschiedliche Sachen.

PsychoEagle · 20.08.2008, 10:25

Hier ein paar Lösungsvorschläge bzw. Beispiele

SQL-Injection – Wikipedia

HStev · 20.08.2008, 12:57

Zitat:

Zitat von David

Das eignet sich aber nicht als Ersatz für die escape_string-Funktionen. Validierung und transport encoding sind zwei unterschiedliche Sachen.

deshalb hab ich nicht zu vergessen geschrieben

HStev · 20.08.2008, 13:06

Zitat:

Zitat von David

Oder Du verwendest prepared statements und die dazugehörigen bind-Funktionen. Beispiele mit PDO findest Du unter PHP: Prepared statements and stored procedures - Manual

Prepared Statements bedeutet nicht das diese Injectionssave sind ... ne sinnvolle validierung oder escapen wäre auch hier angebracht

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[Erledigt] Fenster schliessen verhindern		HTML, Usability und Barrierefreiheit	4	15.02.2010 14:04
Bilderklau verhindern	wind-kun	PHP Tipps 2008	13	11.07.2008 13:29
Mehrfaches Voten verhindern	karyou	PHP Tipps 2008	12	25.06.2008 12:47
Ausführung von PHP-Scripten verhindern	Pimbolie1979	PHP Tipps 2008	16	18.05.2008 20:45
__set() verhindern das erzeugen einer neuen Variablen	shocky	PHP Tipps 2006	18	30.10.2006 14:35
zum mysql optimieren caching verhindern?	Anotherone	Datenbanken	1	10.03.2006 21:17
verhindern das bei aktualisieren eine aktion wiederholt wird	Crypi	PHP Tipps 2006	13	11.01.2006 11:53
SQL Injektion verhindern? addslashes()..	Alpha Centauri	Datenbanken	6	06.01.2006 15:21
Zeilenumbruch in Tabelle verhindern	patr1k	HTML, Usability und Barrierefreiheit	3	22.12.2005 11:24
Externes Downloaden verhindern, aber streaming erlauben...		Server, Hosting und Workstations	1	27.11.2005 11:39
Gewinnspiel-Fremdeinträge verhindern		PHP-Fortgeschrittene	3	18.11.2005 20:24
Wie kann ich verhindern das der Browser encodete	axelnes	HTML, Usability und Barrierefreiheit	15	18.11.2005 18:37
Mehrfachtes absenden eines Formulars verhindern ?		PHP Tipps 2005	12	16.03.2005 01:13
Doppelten Upload verhindern.	BastianX75	PHP Tipps 2005	5	17.02.2005 11:51
[Erledigt] verhindern von 2 anmeldungen!		PHP-Fortgeschrittene	16	28.08.2003 22:51

19.08.2008, 13:11
Pimbolie1979 Erfahrener Benutzer Registriert seit: 10.02.2004 Beiträge: 132	Injunction verhindern Hi @ all Ich habe folgenden Quellcode gefunden: if(get_magic_quotes_gpc()) { array_stripslashes($_GET); array_stripslashes($_POST); array_stripslashes($_COOKIE); } Ist es dadurch möglich Injectionszu verhindern? __________________ www.Gastgeber-Deutschland.de Geändert von Pimbolie1979 (19.08.2008 um 13:20 Uhr).


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

19.08.2008, 13:14
David Erfahrener Benutzer Registriert seit: 05.09.2007 Beiträge: 5.044	Injunctions sind gerichtliche Verfügungen. Du meinst Injections, Injektionen. Und nein, der Code macht nur ein fehlgeleitetes Feature (schon zum Thema injections, aber eben Schrott) von PHP rückgängig (was array_stripslashes genau macht, wissen wir ohne den Code der Funktion oder einer Beschreibung nicht, aber dem Namen nach...) Was suchst Du genau? Geändert von David (19.08.2008 um 13:17 Uhr).

19.08.2008, 13:20
Pimbolie1979 Erfahrener Benutzer Registriert seit: 10.02.2004 Beiträge: 132	Ich möchte verhindern, das jemand meine Datenbank manipuliert, indem er in einer Textbox Befehle sendet, die dann unerlaubt Daten ändert. __________________ www.Gastgeber-Deutschland.de

19.08.2008, 13:30
David Erfahrener Benutzer Registriert seit: 05.09.2007 Beiträge: 5.044	Für (fast) jede Datenbankerweiterung findest Du eine spezialisierte Funktion, deren einzige Aufgabe es ist, Steuerzeichen zu maskieren. Für mysql ist das mysql_real_escape_string, für mysqli mysqli::real_escape_string, für postgresql pg_escape_string usw usw Oder Du verwendest prepared statements und die dazugehörigen bind-Funktionen. Beispiele mit PDO findest Du unter PHP: Prepared statements and stored procedures - Manual

19.08.2008, 14:12
HStev Erfahrener Benutzer Registriert seit: 25.04.2005 Beiträge: 1.356	Nicht zu vergessen die Filter Funktions (PHP: filter_input - Manual) seit PHP 5.2.0 ... wodurch sich die User eingaben auch noch direkt validieren lassen. __________________ Gewisse Dinge behält man besser für sich, z.B. das man gewisse Dinge für sich behält.

19.08.2008, 14:39
cycap Moderator Registriert seit: 13.02.2008 Beiträge: 6.816 PHP-Kenntnisse: Fortgeschritten	Das Thema ist alles andere als fortgeschrittene Programmierung, das sind Grundlagen, dehalb verschoben

20.08.2008, 10:25
PsychoEagle there's only one psycho Registriert seit: 21.08.2007 Beiträge: 1.283 PHP-Kenntnisse: Anfänger	Hier ein paar Lösungsvorschläge bzw. Beispiele SQL-Injection – Wikipedia __________________ "Weaseling out of things is important to learn. It's what separates us from the animals ... except the weasel." (Homer J. Simpson)