Ankündigung

Einklappen
Keine Ankündigung bisher.

SQL Injection vorbeugen

Einklappen

Neue Werbung 2019

Einklappen
Dieses Thema ist geschlossen.
X
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • SQL Injection vorbeugen

    hallo,
    ich habe nach Internetrecherche und dem Manual alle per POST übermittelten Daten escapet und dann den Typ festgelegt. Ein Beispiel:

    PHP-Code:
    $email mysql_real_escape_string($_POST["email"]);
    settype($email"string"); 
    Nun meine Frage: Würde das ausreichen, um sich vor einer SQL Injection zu schützen? Oder muss man noch mehr funktionen drauf "hetzen"?


  • #2
    Mach es dir doch nicht so schwer. Im Prinzip (noch sollte man das machen) musst du prüfen ob magic_quotes on sind, falls ja die bereots gesetzten Escapes mit stripslashes entfernen. Dann im SQL Statement tust die Werte die Strings die mit mysql_real_escape_string absichern und gut ist.

    Das mit dem Set Type brauchst du nicht machen, wenn du sowas machen willst dann tu doch die Werte explizit casten.

    PHP-Code:
    (string)$_POST['stringVar']; 
    Aus dem Dynamo Lande kommen wir. Trinken immer reichlich kühles Bier. Und dann sind wir alle voll, die Stimmung ist so toll. Aus dem Dynamo Lande kommen wir.
    http://www.lit-web.de

    Kommentar


    • #3
      Ok. Also Mysql_real_escape_string reicht dann, wenn magic_quotes on sind? Danke für die Info

      Aber es macht doch keine unterschied, wie man es castet oder?

      Kommentar


      • #4
        Zitat von Extremefall Beitrag anzeigen
        Also Mysql_real_escape_string reicht dann, wenn magic_quotes on sind?
        Nein, magic_quotes on sind zu viel.


        Artikel:Kontextwechsel – SELFHTML
        Lesen, Verstehen == keine Fragen mehr offen.

        Kommentar


        • #5
          Und mysql_real_escape_string liefert _immer_ einen String.
          --

          „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
          Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“


          --

          Kommentar


          • #6
            Wie muss man sich denn sonst noch mit magic quotes on Schützen? Welche Funktionen helfen da?

            Kommentar


            • #7
              Das Thema wurde bereits hinreichend behandelt. Bitte benutze die Forensuche und beachte diesen Thread!

              [MOD: Thread geschlossen]
              --

              „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
              Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“


              --

              Kommentar

              Lädt...
              X