[Erledigt] htmlspecialchars vor Speicherung in DB? - Seite 2

Manko10 · 30.11.2008, 22:04

Interessant. Dankeschön!

David · 30.11.2008, 22:05

Es bezieht sich auf die character-set Einstellungen. Zum Beispiel per

Zitat:

mysql_query("SET CHARACTER SET 'gbk'", $c);

David · 30.11.2008, 22:06

Und was lernen wir (wieder) daraus

Zitat:

Zitat von http://ilia.ws/archives/103-mysql_real_escape_string-versus-Prepared-Statements.html

The solution is to use prepared statements, which are supported by nearly all PHP database extensions with the notable exceptions of MySQL (ext/mysql) and SQLite2 (ext/sqlite). So, to be on the safe side, I'd recommend using the PDO interface to talks with those databases or in the case of MySQL using the newer MySQLi (ext/mysqli) extension. Those interfaces provide prepared statement support, which allows for separation between query structure and the query parameters. It should be noted that while PDO does emulated prepared statements for older versions of MySQL that do not support them natively, emulation is still prone to the same kind of issues demonstrated here and in Chris’ article. Therefore for security reasons you should definitely consider upgrading to a more modern version of MySQL and SQLite (SQLite 3).

Amen.

malungo · 01.12.2008, 18:09

oje oje...ihr macht mir ja angst!

Aber wenn ich Integerwerte schon mal nur in Hochkomma in den sql String stelle kann mir z.B. ID="5 OR 1=1" ja z.B. schon gar nicht passieren!?

Desweiteren prüfe ich ja auf gültige Zeichen (regex)...das System dürfte dann ziemlich sicher sein!?

und dieser link:
mysql_real_escape_string() versus Prepared Statements - iBlog - Ilia Alshanetsky

hier ist man doch auch nur anfällig wenn Charset GBK ist, oder verstehe ich das falsch!? ...mit Latin1 dürften keine Probleme auftreten...

Prepared Statement scheint mir ein bisschen zu kompliziert...da ich ja nicht mal mit einem DB Objekt in meiner Webanwendung arbeite...
Kann ich auch ohne ein sicheres System hinbekommen, oder soll ich lieber gleich komplett umsteigen?

btw: Kann es sein, dass Strato und andere Anbieter z.B. gar kein PDO unterstützen? Wenn ja, bräucht ich ja einen Rootserver...

David · 02.12.2008, 12:55

Zitat:

Zitat von malungo

Aber wenn ich Integerwerte schon mal nur in Hochkomma in den sql String stelle kann mir z.B. ID="5 OR 1=1" ja z.B. schon gar nicht passieren!?

in diesem Fall dann natürlich samt mysql_real_escape_string()

Zitat:

Zitat von malungo

hier ist man doch auch nur anfällig wenn Charset GBK ist, oder verstehe ich das falsch!? ...mit Latin1 dürften keine Probleme auftreten...

GBK hat sich Chris Shiflett als Beispiel rausgesucht. Ob es weitere Kombinationen gibt ...vermutlich.

Zitat:

Zitat von malungo

btw: Kann es sein, dass Strato und andere Anbieter z.B. gar kein PDO unterstützen?

ja, das ist ein Problem.

nikosch · 02.12.2008, 13:00

Zitat:

Desweiteren prüfe ich ja auf gültige Zeichen (regex)...das System dürfte dann ziemlich sicher sein!?

Das Problem bei SQL Injection ist ja eben, dass sie aus gültigen Zeichen und typischer Sprache (z.B. Hochkommata) bestehen. Reguläre Ausdrücke sind meist Anhaltspunkte, oft aber keine Sicherheit. Schau mal hier, was ich zumThema Programmabbruch etc. geschrieben habe.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

30.11.2008, 22:04
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.709 PHP-Kenntnisse: Fortgeschritten	Interessant. Dankeschön! __________________ Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

01.12.2008, 18:09
malungo Benutzer Registriert seit: 16.10.2008 Beiträge: 41	oje oje...ihr macht mir ja angst! Aber wenn ich Integerwerte schon mal nur in Hochkomma in den sql String stelle kann mir z.B. ID="5 OR 1=1" ja z.B. schon gar nicht passieren!? Desweiteren prüfe ich ja auf gültige Zeichen (regex)...das System dürfte dann ziemlich sicher sein!? und dieser link: mysql_real_escape_string() versus Prepared Statements - iBlog - Ilia Alshanetsky hier ist man doch auch nur anfällig wenn Charset GBK ist, oder verstehe ich das falsch!? ...mit Latin1 dürften keine Probleme auftreten... Prepared Statement scheint mir ein bisschen zu kompliziert...da ich ja nicht mal mit einem DB Objekt in meiner Webanwendung arbeite... Kann ich auch ohne ein sicheres System hinbekommen, oder soll ich lieber gleich komplett umsteigen? btw: Kann es sein, dass Strato und andere Anbieter z.B. gar kein PDO unterstützen? Wenn ja, bräucht ich ja einen Rootserver... Geändert von malungo (01.12.2008 um 18:40 Uhr).