mysql_real_escape_string / Sicherheit - Was, wann und wie?

wassereimer · 09.05.2009, 15:37

Hallo an alle.

Ich wollte fragen wann man mysql_real_escape_string und htmlspecialchars einsetzt. Desweiteren noch wie man es genau einsetzt...
Ich habe mir zwar schon etwas dazu durchgelesen, aber da habe ich so ein paar Schwierigkeiten dies zu verstehen...

Ich hoffe Ihr könnt mir da ein wenig weiter helfen.

Beispiel 1:
Ich habe ein Login Formular. Reicht es hier aus mysql_real_escape_string zu verwenden? Oder empfiehlt es sich hier noch andere Sachen zusätzlich anzuwenden?
Wann nutze ich nun mysql_real_escape_string? An der ersten Stelle wo ich die Daten verarbeite oder erst wenn es auf die Datenbank zu geht?
Und wie nutze ich diese Funktion?

PHP-Code:

  $sql = "SELECT name, pw FROM ". $dbprefix."admin_user WHERE (name like '".$_REQUEST["nutzer"]."') AND (pw = '".md5 ($_REQUEST["passwd"])."')";

-----

Beispiel 2:
Ich habe einen WYSIWYG Editor mit dem ich etwas in die Datenbank schreiben kann. (Inhalte mit Tabellen o.ä.)
Derzeit mache ich mit den Inhalten gar nichts... Also alle Inhalte, auch wenn HTML Zeichen drin vorkommen, werden einfach so in die Datenbank geschrieben.
Sollte ich hier htmlspecialchars verwenden? Und wie nutze ich diese Funktion? Und sollte ich zusätzlich noch mysql_real_escape_string verwenden? Schließlich kann ich bei dem Editor ja auch auf Quellcode umstellen und dann jeden mist da rein schreiben...

PHP-Code:

  $sql="UPDATE ". $dbprefix."web_onoff SET text = '".($_POST['textfeld'])."', wert = '".($_POST['onoff'])."' WHERE id='1'";

-----

Beispiel 3:
Ich habe ein einfaches Feld (input type text). Sollte ich hier auch beides verwenden oder nur eins von beiden?

-----

Und würden diese beiden Sachen ausreichen um Sicherheitslücken zu beseitigen? Oder sollte ich noch andere Sachen zusätzlich verwenden?

Vielen Dank erstmal für eure Antworten.

Lg
wassereimer

Koala · 09.05.2009, 15:49

mysql_real_escape_string wenn Du die Variable innerhalb einer mySQL-Abfrage verwendest:
htmlspecialchars wenn Du die Daten ausgibst (z.B. per echo).

wassereimer · 09.05.2009, 16:10

Danke erstmal für deine Antwort...

Also mysql_real_escape_string wird nur in einer Abfrage verwendet, richtig?
Ich glaube mysql_real_escape_string maskiert bestimmte Zeichen, oder? Muss ich das dann wieder Rückgängig machen, wenn ich eingetragene Daten (mit mysql_real_escape_string) wieder ausgeben lassen möchte?

htmlspecialchars brauche ich also nicht verwenden wenn ich etwas in die Datenbank schreibe? Dies muss ich nur benutzen wenn ich z.b. html Sachen aus der Datenbank raus holen möchte um sie auszugeben?

Beides zusammen muss man nicht verwenden?

Gibt es noch andere Sachen die ich benutzen sollte um Sicherheitslücken zu schließen?

Koala · 09.05.2009, 16:12

Lies doch in der Doku nach oder benutz Google.
Ich hab keine Lust alles noch mal zu wiederholen.

litterauspirna · 09.05.2009, 16:22

Htmlspecialchars benutzt du eigentlich beim Output. Beim eintragen in die Datenbank benutzt du im SQL Statement mysql_real_escape_string. Wenn du in einer Where Clausel nach Strings abfragts benutzt du auch mysql_real_escape_string. Ansonsten bein Integerwerten eben (int) oder intval.

Bevor du die Daten in die DB schrribst prüfe sie aber auch mit strip_tags ab. Ebenfalls prüfe vorher über die Funktion

PHP-Code:

  if(get_magic_quotes_gpc()==1 && get_magic_quotes_runtime())
{
       //vars mit stripslashes versehen und somit escapes entfernen
}

ob magic_quotes auf on stehen. in dem Fall also die Variablen mit stripslashes bearbeiten, dadurch werden bereits gesetzte escapes entfernt und die variablen erst escaped wenn du sie in die DB einträgst. Mit ein wenig Googlen hättest du das aber auch selber herausfinden können.

Gruß litter

nikosch · 09.05.2009, 17:10

Das Thema wurde bereits hinreichend behandelt. Bitte benutze die Forensuche und beachte diesen Thread!

wassereimer · 09.05.2009, 22:46

Danke erstmal für eure Antworten.

Ich hab nun nochmal weiter gegoogelt und ein wenig geforscht...

Wenn ich diese Funktion

PHP-Code:

  function protect($value)
{
    // stripslashes, falls nötig
    if (get_magic_quotes_gpc() && get_magic_quotes_runtime()) {
        $value = stripslashes($value);
    }

    // quotieren, falls kein integer
    if (!is_numeric($value)) {
        $value = mysql_real_escape_string($value);
    }

    return $value;
}

bei jeder Variable, die mit der Datenbank in Kontakt kommt anwende, bin ich dann auf der sicheren Seite?

Lg
wassereimer

nikosch · 09.05.2009, 22:58

Imho nicht. Und dass diese Kombination nicht wirklich praktisch ist habe ich in einem anderen Thread schon mal ausführlich beschrieben.

http://www.php.de/php-einsteiger/516...injection.html
http://www.php.de/php-einsteiger/523...on-sicher.html

wassereimer · 09.05.2009, 23:45

Irgendwie helfen mir die beiden Threads nicht so ganz weiter...
Da hat ja auch jeder zweite eine anderer Meinung...
Jetzt bin ich total verwirrt...

Hat nicht jemand Lust mal ein Mini-Tutorial zu schreiben?
Das ganze wird ja anscheinend häufiger angefragt... Dann könnte man immer an diesen Thread verweisen...
Und das würde bestimmt nicht nur die Unwissenden (wie mich) glücklich machen, sondern auch euch. Da ihr euch nicht immer wiederholen müsst und euer Blutdruck dann nicht in die Höhe schnellt...

Also wann was gemacht werden sollte, was gemacht werden muss, wie man es machen sollte und so...

Lg
wassereimer

yab · 10.05.2009, 00:13

Zitat:

Zitat von wassereimer

Irgendwie helfen mir die beiden Threads nicht so ganz weiter...
Da hat ja auch jeder zweite eine anderer Meinung...
Jetzt bin ich total verwirrt...

Hat nicht jemand Lust mal ein Mini-Tutorial zu schreiben?

Du könntest vielleicht schonmal Vorarbeit leisten. Alle dir wichtigen (gewünschten) Punkte inkl. Unterpunkte auflisten, also eine grobe Inhaltsstruktur liefern. Dann die recherchierten, "verschiedenen Meinungen" mit deinen offenen Fragen dazu auflisten.

Das wäre schonmal eine gute, diskussionswürdige Grundlage für ein Tutorial. Wie stehst du dazu?

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

09.05.2009, 15:37
wassereimer Erfahrener Benutzer Registriert seit: 06.04.2009 Beiträge: 105 PHP-Kenntnisse: Anfänger	mysql_real_escape_string / Sicherheit - Was, wann und wie? Hallo an alle. Ich wollte fragen wann man mysql_real_escape_string und htmlspecialchars einsetzt. Desweiteren noch wie man es genau einsetzt... Ich habe mir zwar schon etwas dazu durchgelesen, aber da habe ich so ein paar Schwierigkeiten dies zu verstehen... Ich hoffe Ihr könnt mir da ein wenig weiter helfen. Beispiel 1: Ich habe ein Login Formular. Reicht es hier aus mysql_real_escape_string zu verwenden? Oder empfiehlt es sich hier noch andere Sachen zusätzlich anzuwenden? Wann nutze ich nun mysql_real_escape_string? An der ersten Stelle wo ich die Daten verarbeite oder erst wenn es auf die Datenbank zu geht? Und wie nutze ich diese Funktion? PHP-Code: `$sql = "SELECT name, pw FROM ". $dbprefix."admin_user WHERE (name like '".$_REQUEST["nutzer"]."') AND (pw = '".md5 ($_REQUEST["passwd"])."')";` ----- Beispiel 2: Ich habe einen WYSIWYG Editor mit dem ich etwas in die Datenbank schreiben kann. (Inhalte mit Tabellen o.ä.) Derzeit mache ich mit den Inhalten gar nichts... Also alle Inhalte, auch wenn HTML Zeichen drin vorkommen, werden einfach so in die Datenbank geschrieben. Sollte ich hier htmlspecialchars verwenden? Und wie nutze ich diese Funktion? Und sollte ich zusätzlich noch mysql_real_escape_string verwenden? Schließlich kann ich bei dem Editor ja auch auf Quellcode umstellen und dann jeden mist da rein schreiben... PHP-Code: `$sql="UPDATE ". $dbprefix."web_onoff SET text = '".($_POST['textfeld'])."', wert = '".($_POST['onoff'])."' WHERE id='1'";` ----- Beispiel 3: Ich habe ein einfaches Feld (input type text). Sollte ich hier auch beides verwenden oder nur eins von beiden? ----- Und würden diese beiden Sachen ausreichen um Sicherheitslücken zu beseitigen? Oder sollte ich noch andere Sachen zusätzlich verwenden? Vielen Dank erstmal für eure Antworten. Lg wassereimer Geändert von wassereimer (10.05.2009 um 11:09 Uhr).


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

09.05.2009, 15:49
Koala Erfahrener Benutzer Registriert seit: 28.09.2008 Beiträge: 1.168 PHP-Kenntnisse: Fortgeschritten	mysql_real_escape_string wenn Du die Variable innerhalb einer mySQL-Abfrage verwendest: htmlspecialchars wenn Du die Daten ausgibst (z.B. per echo).

09.05.2009, 16:10
wassereimer Erfahrener Benutzer Registriert seit: 06.04.2009 Beiträge: 105 PHP-Kenntnisse: Anfänger	Danke erstmal für deine Antwort... Also mysql_real_escape_string wird nur in einer Abfrage verwendet, richtig? Ich glaube mysql_real_escape_string maskiert bestimmte Zeichen, oder? Muss ich das dann wieder Rückgängig machen, wenn ich eingetragene Daten (mit mysql_real_escape_string) wieder ausgeben lassen möchte? htmlspecialchars brauche ich also nicht verwenden wenn ich etwas in die Datenbank schreibe? Dies muss ich nur benutzen wenn ich z.b. html Sachen aus der Datenbank raus holen möchte um sie auszugeben? Beides zusammen muss man nicht verwenden? Gibt es noch andere Sachen die ich benutzen sollte um Sicherheitslücken zu schließen?

09.05.2009, 16:12
Koala Erfahrener Benutzer Registriert seit: 28.09.2008 Beiträge: 1.168 PHP-Kenntnisse: Fortgeschritten	Lies doch in der Doku nach oder benutz Google. Ich hab keine Lust alles noch mal zu wiederholen.

09.05.2009, 16:22
litterauspirna Erfahrener Benutzer Registriert seit: 24.04.2008 Beiträge: 3.172 PHP-Kenntnisse: Anfänger	Htmlspecialchars benutzt du eigentlich beim Output. Beim eintragen in die Datenbank benutzt du im SQL Statement mysql_real_escape_string. Wenn du in einer Where Clausel nach Strings abfragts benutzt du auch mysql_real_escape_string. Ansonsten bein Integerwerten eben (int) oder intval. Bevor du die Daten in die DB schrribst prüfe sie aber auch mit strip_tags ab. Ebenfalls prüfe vorher über die Funktion PHP-Code: `if(get_magic_quotes_gpc()==1 && get_magic_quotes_runtime()) { //vars mit stripslashes versehen und somit escapes entfernen }` ob magic_quotes auf on stehen. in dem Fall also die Variablen mit stripslashes bearbeiten, dadurch werden bereits gesetzte escapes entfernt und die variablen erst escaped wenn du sie in die DB einträgst. Mit ein wenig Googlen hättest du das aber auch selber herausfinden können. Gruß litter __________________ Aus dem Dynamo Lande kommen wir. Trinken immer reichlich kühles Bier. Und dann sind wir alle voll, die Stimmung ist so toll. Aus dem Dynamo Lande kommen wir. http://www.lit-web.de

09.05.2009, 17:10
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.987 PHP-Kenntnisse: Fortgeschritten	Das Thema wurde bereits hinreichend behandelt. Bitte benutze die Forensuche und beachte diesen Thread! __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

09.05.2009, 22:46
wassereimer Erfahrener Benutzer Registriert seit: 06.04.2009 Beiträge: 105 PHP-Kenntnisse: Anfänger	Danke erstmal für eure Antworten. Ich hab nun nochmal weiter gegoogelt und ein wenig geforscht... Wenn ich diese Funktion PHP-Code: `function protect($value) { // stripslashes, falls nötig if (get_magic_quotes_gpc() && get_magic_quotes_runtime()) { $value = stripslashes($value); } // quotieren, falls kein integer if (!is_numeric($value)) { $value = mysql_real_escape_string($value); } return $value; }` bei jeder Variable, die mit der Datenbank in Kontakt kommt anwende, bin ich dann auf der sicheren Seite? Lg wassereimer Geändert von wassereimer (09.05.2009 um 22:54 Uhr).

09.05.2009, 22:58
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.987 PHP-Kenntnisse: Fortgeschritten	Imho nicht. Und dass diese Kombination nicht wirklich praktisch ist habe ich in einem anderen Thread schon mal ausführlich beschrieben. http://www.php.de/php-einsteiger/516...injection.html http://www.php.de/php-einsteiger/523...on-sicher.html __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. -- Geändert von nikosch (09.05.2009 um 23:08 Uhr).

09.05.2009, 23:45
wassereimer Erfahrener Benutzer Registriert seit: 06.04.2009 Beiträge: 105 PHP-Kenntnisse: Anfänger	Irgendwie helfen mir die beiden Threads nicht so ganz weiter... Da hat ja auch jeder zweite eine anderer Meinung... Jetzt bin ich total verwirrt... Hat nicht jemand Lust mal ein Mini-Tutorial zu schreiben? Das ganze wird ja anscheinend häufiger angefragt... Dann könnte man immer an diesen Thread verweisen... Und das würde bestimmt nicht nur die Unwissenden (wie mich) glücklich machen, sondern auch euch. Da ihr euch nicht immer wiederholen müsst und euer Blutdruck dann nicht in die Höhe schnellt... Also wann was gemacht werden sollte, was gemacht werden muss, wie man es machen sollte und so... Lg wassereimer Geändert von wassereimer (09.05.2009 um 23:49 Uhr).