Ankündigung

Einklappen
Keine Ankündigung bisher.

SQL Injection vorbeugen

Einklappen

Neue Werbung 2019

Einklappen
Dieses Thema ist geschlossen.
X
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • SQL Injection vorbeugen

    hallo,
    ich habe nach Internetrecherche und dem Manual alle per POST übermittelten Daten escapet und dann den Typ festgelegt. Ein Beispiel:

    PHP-Code:
    $email mysql_real_escape_string($_POST["email"]);
    settype($email"string"); 
    Nun meine Frage: Würde das ausreichen, um sich vor einer SQL Injection zu schützen? Oder muss man noch mehr funktionen drauf "hetzen"?

  • #2
    Mach es dir doch nicht so schwer. Im Prinzip (noch sollte man das machen) musst du prüfen ob magic_quotes on sind, falls ja die bereots gesetzten Escapes mit stripslashes entfernen. Dann im SQL Statement tust die Werte die Strings die mit mysql_real_escape_string absichern und gut ist.

    Das mit dem Set Type brauchst du nicht machen, wenn du sowas machen willst dann tu doch die Werte explizit casten.

    PHP-Code:
    (string)$_POST['stringVar']; 
    Aus dem Dynamo Lande kommen wir. Trinken immer reichlich kühles Bier. Und dann sind wir alle voll, die Stimmung ist so toll. Aus dem Dynamo Lande kommen wir.
    [URL]http://www.lit-web.de[/URL]

    Kommentar


    • #3
      Ok. Also Mysql_real_escape_string reicht dann, wenn magic_quotes on sind? Danke für die Info

      Aber es macht doch keine unterschied, wie man es castet oder?

      Kommentar


      • #4
        Zitat von Extremefall Beitrag anzeigen
        Also Mysql_real_escape_string reicht dann, wenn magic_quotes on sind?
        Nein, magic_quotes on sind zu viel.


        Artikel:Kontextwechsel – SELFHTML
        Lesen, Verstehen == keine Fragen mehr offen.
        [SIZE="1"]RGB is totally confusing - I mean, at least #C0FFEE should be brown, right?[/SIZE]

        Kommentar


        • #5
          Und mysql_real_escape_string liefert _immer_ einen String.
          [COLOR="#F5F5FF"]--[/COLOR]
          [COLOR="Gray"][SIZE="6"][FONT="Georgia"][B]^^ O.O[/B][/FONT] [/SIZE]
          „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
          [URL="http://www.php.de/javascript-ajax-und-mehr/107400-draggable-sorttable-setattribute.html#post788799"][B]Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“[/B][/URL][/COLOR]
          [COLOR="#F5F5FF"]
          --[/COLOR]

          Kommentar


          • #6
            Wie muss man sich denn sonst noch mit magic quotes on Schützen? Welche Funktionen helfen da?

            Kommentar


            • #7
              Das Thema wurde bereits hinreichend behandelt. Bitte benutze die Forensuche und beachte diesen Thread!

              [MOD: Thread geschlossen]
              [COLOR="#F5F5FF"]--[/COLOR]
              [COLOR="Gray"][SIZE="6"][FONT="Georgia"][B]^^ O.O[/B][/FONT] [/SIZE]
              „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
              [URL="http://www.php.de/javascript-ajax-und-mehr/107400-draggable-sorttable-setattribute.html#post788799"][B]Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“[/B][/URL][/COLOR]
              [COLOR="#F5F5FF"]
              --[/COLOR]

              Kommentar

              Lädt...
              X