Ankündigung

Einklappen
Keine Ankündigung bisher.

Frage der Sicherheit!

Einklappen

Neue Werbung 2019

Einklappen
Dieses Thema ist geschlossen.
X
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Frage der Sicherheit!

    Guten Abend zusammen!

    Tjaja, als währe es nicht oft genug besprochen worden: SQL-Injections / XSS-Lücken...

    Thema 1: SQL-Injection

    Ein Kumpel von mir hat mir die Fluse in den Kopf gesetzt:
    Junge, wenn du dich absichern willst dann nutze addslashes und alles ist gut. Nun lese ich überall mysql_real_escape_string währe wohl besser was sagt ihr dazu`? Und reicht mysql_real_escape_string oder addslahes aus?
    (In meinem Fall: edit.php?edit=true&id=5 < zum Beispiel, also statisch)

    Thema 2: XSS
    Welche Funktion soll ich den nun verwenden um XSS-Lücken schon bei der Eingabe auszumerzen? Es gibt soviel und ich möchte aus Performance-Gründen ja nicht alles anweden? ^^

    Grüße
    OrionCoder


  • #2
    Hallo und Willkommen,

    hast du schon die Forensuche benutzt?

    sicherheit sql injection

    Gruß
    http://hallophp.de

    Kommentar


    • #3
      Ja, das Problöem an der ganzen Sache: Jeder meint was anderes - was ist den nun ausreichend?

      Kommentar


      • #4
        Unter dem Link findest du doch massenweise Themen. Wenn du Beiträge von Manko10, nikosch oder anderen Moderatoren findest, kannst du dich erstmal drauf verlassen.

        Dieses Thema wurde wirklich mehr als ausreichend behandelt. Man hat nahezu das Gefühl, als würde jede Woche ein neuer Thread zum Thema eröffnet werden, daher entschuldige Bitte diese gelangweilte Antwort

        Wenn du etwas in den Themen gefunden hast und noch Fragen hast oder dir bei etwas unsicher bist, kannst du gerne noch mal nachfragen.

        Ein Zitat von mermshaus habe ich noch in Erinnerung:
        Wozu addslashes gut sein soll, entzieht sich meiner Kenntnis
        Sorry an mermshaus, wenn ich den Wortlaut nicht exakt wiedergegeben haben sollte.

        Gruß
        http://hallophp.de

        Kommentar


        • #5
          Ich denke, was verwendet wird kommt auf die Situatuion an.
          Am Besten Du beschäftigst Dich mit einigen Tutorials zum Thema und versuchst Dein angeeignetes Wissen umzusetzen.

          Damit will ich Dich nicht abblocken.
          Es ist halt nur ein komplexes Thema. Da solltest Du wirklich erst mehr drüber lesen, als mit dem Wissen über "hat mein Kumpel mir erzählt" rumzuproggen.
          Competence-Center -> Enjoy the Informatrix
          PHProcks!Einsteiger freundliche TutorialsPreComposed Packages

          Kommentar


          • #6
            addslashes reicht NICHT aus! Es gibt bestimmte Zeichen mit denen dann trotzdem SQL Injection möglich ist mit denen addslashes ausgetrickst werden kann. Von daher immer mysql_real_escape_string() verwenden!

            Und XSS würde ich erst bei der Ausgabe überprüfen. Sonst hast du das problem das der Text der in der Datenbank steht nicht der Text ist den der User eingegeben hat. Möchte er z.b. einen Eintrag editieren hat er dann Teilweise recht komische HTML Entities die die meisten User nicht kennen.

            Kommentar


            • #7
              addslashes reicht NICHT aus!
              Dem ist nichts hinzuzufügen.

              Jeder meint was anderes
              Und was ist an ein paar weiteren Antworten danach anders? Alles wurde x-fach hier (auch ausführlich) beschrieben.

              [MOD: Thread geschlossen]
              --

              „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
              Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“


              --

              Kommentar

              Lädt...
              X