Frage der Sicherheit!

OrionCoder

Dabei seit: 25.04.2010

Beiträge: 2
#1

Frage der Sicherheit!

25.04.2010, 20:24

Guten Abend zusammen!

Tjaja, als währe es nicht oft genug besprochen worden: SQL-Injections / XSS-Lücken...

Thema 1: SQL-Injection

Ein Kumpel von mir hat mir die Fluse in den Kopf gesetzt:
Junge, wenn du dich absichern willst dann nutze addslashes und alles ist gut. Nun lese ich überall mysql_real_escape_string währe wohl besser was sagt ihr dazu`? Und reicht mysql_real_escape_string oder addslahes aus?
(In meinem Fall: edit.php?edit=true&id=5 < zum Beispiel, also statisch)

Thema 2: XSS
Welche Funktion soll ich den nun verwenden um XSS-Lücken schon bei der Eingabe auszumerzen? Es gibt soviel und ich möchte aus Performance-Gründen ja nicht alles anweden? ^^

Grüße
OrionCoder
Stichworte: -
Asipak

Dabei seit: 18.07.2005

Beiträge: 4119
#2

25.04.2010, 20:24

Hallo und Willkommen,

hast du schon die Forensuche benutzt?

sicherheit sql injection

Gruß

[URL]http://hallophp.de[/URL]
Kommentar
OrionCoder

Dabei seit: 25.04.2010

Beiträge: 2
#3

25.04.2010, 20:43

Ja, das Problöem an der ganzen Sache: Jeder meint was anderes - was ist den nun ausreichend?
Kommentar
Asipak

Dabei seit: 18.07.2005

Beiträge: 4119
#4

25.04.2010, 20:47

Unter dem Link findest du doch massenweise Themen. Wenn du Beiträge von Manko10, nikosch oder anderen Moderatoren findest, kannst du dich erstmal drauf verlassen.

Dieses Thema wurde wirklich mehr als ausreichend behandelt. Man hat nahezu das Gefühl, als würde jede Woche ein neuer Thread zum Thema eröffnet werden, daher entschuldige Bitte diese gelangweilte Antwort

Wenn du etwas in den Themen gefunden hast und noch Fragen hast oder dir bei etwas unsicher bist, kannst du gerne noch mal nachfragen.

Ein Zitat von mermshaus habe ich noch in Erinnerung:

Wozu addslashes gut sein soll, entzieht sich meiner Kenntnis

Sorry an mermshaus, wenn ich den Wortlaut nicht exakt wiedergegeben haben sollte.

Gruß

[URL]http://hallophp.de[/URL]
Kommentar
Arne Drews

Moderator

Dabei seit: 22.04.2009

Beiträge: 11340
#5

25.04.2010, 20:48

Ich denke, was verwendet wird kommt auf die Situatuion an.
Am Besten Du beschäftigst Dich mit einigen Tutorials zum Thema und versuchst Dein angeeignetes Wissen umzusetzen.

Damit will ich Dich nicht abblocken.
Es ist halt nur ein komplexes Thema. Da solltest Du wirklich erst mehr drüber lesen, als mit dem Wissen über "hat mein Kumpel mir erzählt" rumzuproggen.

Competence-Center -> Enjoy the Informatrix
PHProcks! • Einsteiger freundliche Tutorials • PreComposed Packages
Kommentar
Flor1an

Dabei seit: 18.06.2008

Beiträge: 10040
#6

25.04.2010, 20:52

addslashes reicht NICHT aus! Es gibt bestimmte Zeichen mit denen dann trotzdem SQL Injection möglich ist mit denen addslashes ausgetrickst werden kann. Von daher immer mysql_real_escape_string() verwenden!

Und XSS würde ich erst bei der Ausgabe überprüfen. Sonst hast du das problem das der Text der in der Datenbank steht nicht der Text ist den der User eingegeben hat. Möchte er z.b. einen Eintrag editieren hat er dann Teilweise recht komische HTML Entities die die meisten User nicht kennen.
Kommentar
nikosch

Dabei seit: 21.05.2008

Beiträge: 46002
#7

25.04.2010, 20:56

addslashes reicht NICHT aus!

Dem ist nichts hinzuzufügen.

Jeder meint was anderes

Und was ist an ein paar weiteren Antworten danach anders? Alles wurde x-fach hier (auch ausführlich) beschrieben.

[MOD: Thread geschlossen]

[COLOR="#F5F5FF"]--[/COLOR]
[COLOR="Gray"][SIZE="6"][FONT="Georgia"][B]^^ O.O[/B][/FONT] [/SIZE]
„Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
[URL="http://www.php.de/javascript-ajax-und-mehr/107400-draggable-sorttable-setattribute.html#post788799"][B]Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“[/B][/URL][/COLOR]
[COLOR="#F5F5FF"]
--[/COLOR]
Kommentar

Ankündigung

Frage der Sicherheit!

Neue Werbung 2019

Frage der Sicherheit!

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar