kostenloser Webspace werbefrei: lima-city

Login sicher machen

lima-cityForumProgrammiersprachenPHP, MySQL & .htaccess

abfangen abgetrennten bereich angemeldete benutzer anweisung ausgabe ergreifen halten hilfe http manual niemand sprache statement string url zeichen zeichenkette
  1. Autor dieses Themas

    mvielberth

    mvielberth hat kostenlosen Webspace.

    9:46, 22.2.2013
    Hallo liebe Community,

    Ich habe vor, bei meiner Website einen abgetrennten Bereich nur für angemeldete Benutzer mittels PHP einzurichten. Welche Sicherheitsmaßnahmen muss ich ergreifen um die Angriffsmöglichkeiten (SQL Injection) dabei möglichst gering zu halten?
    Vielen Dank für eure Hilfe!!!

  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. h**s

    10:15, 22.2.2013
    wenns dir um SQL-Injection geht dann benutze am besten sqli mit prepared statements...

    (aber denke auch an z.b. xss wenns um die sicheheit geht)
  4. Autor dieses Themas

    mvielberth

    mvielberth hat kostenlosen Webspace.

    10:26, 22.2.2013
    Wie kann ich denn xss unterbinden?

  5. h**s

    10:32, 22.2.2013
    nunja, am besten du achtest IMMER PENIBEL darauf das sämtliche ausgaben deren werte irgendwie von außen kommen (z.B. $_GET und $_POST COOKIE etc.) auf böse zeichen überprüft werden so das zb keine script anweisungen reingehackt werden können (siehe htmlspecialchars)

    Beitrag zuletzt geändert: 22.2.2013 10:33:12 von hcms

  6. realsocialnews

    realsocialnews hat kostenlosen Webspace.

    13:22, 22.2.2013
    Zeichen oder Wörter aus der SQL Sprache mit str_replace rausfiltern, unterdrücken mit was auch immer(sehr unsicher) oder mit if abfangen.
  7. Autor dieses Themas

    mvielberth

    mvielberth hat kostenlosen Webspace.

    13:29, 22.2.2013
    realsocialnews schrieb:
    Zeichen oder Wörter aus der SQL Sprache mit str_replace rausfiltern, unterdrücken mit was auch immer(sehr unsicher) oder mit if abfangen.

    Das hört sich aber sehr umständlich an.
    Gibt es denn keine möglichkeit alle zeichen zu escapen? oder ist das bei htmlspecialchars bereits der fall?

  8. h**s

    13:37, 22.2.2013
    Das hört sich aber sehr umständlich an.
    Gibt es denn keine möglichkeit alle zeichen zu escapen? oder ist das bei htmlspecialchars bereits der fall?

    ehhhhm.. ja.
    http://php.net/manual/de/function.htmlspecialchars.php

    am häufigsten wird bei cross-site-scripting versucht die zeichenkette "<script>" irgendwie reinzujubeln... und da bietet es sich an die "<" und ">" zu maskieren (bzw in entities umzuwandeln), was htmlspecialchars ja unter anderem auch tut...

    Beitrag zuletzt geändert: 22.2.2013 13:38:37 von hcms

  9. voloya

    voloya hat kostenlosen Webspace.

    15:00, 22.2.2013
    Hallo :wave:

    htmlspecialchars + http://php.net/manual/de/function.mysql-real-escape-string.php

    Wundert mich jetzt, dass noch niemand mysql real escape string erwähnt hat. :wow:

    mfg :wave:

  10. h**s

    15:04, 22.2.2013
    Wundert mich jetzt, dass noch niemand mysql real escape string erwähnt hat.


    nun bei prepared statements in sqli wärs überflüssig...

  11. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

lima-city bietet dir kostenlosen und werbefreien Speicherplatz für Deine Homepage. Sofort anmelden und direkt loslegen mit Webspace, PHP, Datenbanken, günstigen Domains und einer tollen Community!

Login zum Webhosting ohne Werbung!

Hast Du schon kostenlosen Webspace oder bist Du auf der Suche nach WordPress-Hosting mit Staging-Funktion und wp-cli? Jetzt günstige Prepaid Domains registrieren!