Ankündigung

Einklappen
Keine Ankündigung bisher.

[Gesucht] Möglichst einfache Möglichkeit um MySQL-Abfrage

Einklappen

Neue Werbung 2019

Einklappen
Dieses Thema ist geschlossen.
X
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • [Gesucht] Möglichst einfache Möglichkeit um MySQL-Abfrage

    um MySQL-Abfragen 100% sicher in Ihrer Struktur zu wahren.

    Ein Bsp:

    Select password WHERE user = '$_REQUEST[username]'

    Ich möchte jetzt nicht unbedingt jeden übergebeben REQUEST (wie hier username) auf eine gültige Syntax kontrollieren (zb nur buchstaben a-z keine leerzeichen etc), aber dennoch gewährleisten dass die MySQL-Abfrage nicht verfälscht wird (wie heisst dieser Fake nochmal mit fachbegriff?).

    Faken könnte mans ja zb so indem man als username angibt:

    Blabla' OR guthaben > 44

    Gibts also eine Möglichkeit den in einer MySQL-Abfrage übergebenen String so zu bearbeiten (wie zb bei htmlentities o.ä.), dass einem so eine böse überraschung nicht passieren kann obwohl man nicht 'per hand' die syntax überprüft?

    thx
    yoo

  • #2
    wenn du es überprüfen willst ..
    schalte einfach eine funktion vor jede SQL-anweisung, die überprüft, ob in $_REQUEST['variable'] wörter wie OR .. AND .. etc. vorkommen ..

    einmalig die funktion schreiben und immer wiederverwerten ..
    [b][url=http://www.benjamin-klaile.de]privater Blog[/url][/b]

    Kommentar


    • #3
      reicht das schon, kann mir vorstellen dass es da noch mehr kniffe gibt?

      oder kennst vielleicht ne seite wo es standart syntax checks fertig und gestestet gibt? (email syntax hab ich schon gefunden, jetzt fehlen eben noch sachen wie A-Z,1-9 ohne Blank, reine Zahl etc)

      Kommentar


      • #4
        http://www.tutorials.de/tutorials142738.html
        [b][url=http://www.benjamin-klaile.de]privater Blog[/url][/b]

        Kommentar


        • #5
          Du musst den String nur Escapen!

          $string = mysql_escape_string($string)

          Macht nicht immer eigene Funktionen, PHP bietet ja schon für alles eine eigene...

          http://ch.php.net/manual/en/function...ape-string.php

          Kommentar


          • #6
            du hast das problem flasch verstanden glaube ich
            [b][url=http://www.benjamin-klaile.de]privater Blog[/url][/b]

            Kommentar


            • #7
              ich denke es ist genau das was ich gesucht habe: sichere mysql abfragen gewährleisten (also ohne veränderung der struktur) auch ohne eigene syntax checks

              danke kuckuck!

              Kommentar


              • #8
                Re: [Gesucht] Möglichst einfache Möglichkeit um MySQL-Abfrag

                Zitat von yoo2k
                Blabla' OR guthaben > 44
                dann hast du das hier falsch beschrieben ...
                [b][url=http://www.benjamin-klaile.de]privater Blog[/url][/b]

                Kommentar


                • #9
                  dafür hat er mich aber gut verstanden

                  Kommentar


                  • #10
                    is auch egal.
                    problem gelöst?
                    ja ..

                    thread closed.

                    wenn noch was in den thread soll .. .einfach eine PM an mich ..
                    [b][url=http://www.benjamin-klaile.de]privater Blog[/url][/b]

                    Kommentar

                    Lädt...
                    X