MYSQL Datenbank(sicherster Weg)
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
antworten
aspekt
befehl
code
empfehlen
empfehlung
erfinden
gefahr
gespeicherten daten
guide
http
komfort
logik
paar
sicherheit
statement
url
verwenden
verzichten
weben
-
Hallo,
Ich bin noch sehr unvertraut mit PHP und möchte aber eine Datenbank haben die sehr sicher ist(vorallem gegen SQL-Injections). Ich hatte ein bisschen gegoogelt und die meisten Empfehlungen waren die PDO's zu nutzen. Was ist eurer Meinung der sicherste Weg?
Eine Erklärung wäre hilfreich,warum dieser Weg der sicherste ist! -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Zum sichern gegen SQL-Injection kannst du
verwenden, wenn du Benutzereingaben in deine SQL-Queries einbaust.mysql_real_escape_string()
-
hackyourlife schrieb:
Zum sichern gegen SQL-Injection kannst du
verwenden, wenn du Benutzereingaben in deine SQL-Queries einbaust.mysql_real_escape_string()
Das wird so prinzipiell nicht ausreichen.
Denn die gespeicherten Daten sollen wahrscheinlich auch irgendwann mal ausgegeben werden. Eine weithin unterschätzte Gefahr neben SQL Injections ist Crossside Scripting.
Es gibt einige Leitfäden, wie man die Datenbanknutzung sicher und effizient gestalten kann, ohne dabei auf Komfort oder ähnliches verzichten zu müssen.
Es gibt ganze Klassen, die nur dafür entwickelt wurden.
Ein paar Links... Mal mit, mal ohne Kommentar. :P
Immer gut: http://dev.mysql.com/doc/refman/5.1/de/security-guidelines.html
http://www.developers-guide.net/c/172-sichere-php-web-applikationen-schreiben.html
http://www.cms-sicherheit.de/php-sicherheitsprobleme/sql-injektion.html
Ein paar allgemeine Tips: http://www.danielfett.de/internet-und-opensource,artikel,web-sicherheit
( Ich stimme nicht mit allem überein was hier gepostet wird, aber es gibt einige Ideen... )
etc. pp.
Google kennt einige gute Quellen zu soetwas. :)
Lese und lerne, junger Padawan.
edit:
@ hackyourlife: Schön, dass du das nach meinem Post erwähnst. Ich habe lediglich gesagt, dass es so nicht reicht und dementsprechend ergänzt. ;)
Beitrag zuletzt geändert: 22.6.2012 14:36:02 von adrians -
adrians schrieb:
Das ist bereits durch Verwendung von
Denn die gespeicherten Daten sollen wahrscheinlich auch irgendwann mal ausgegeben werden. Eine weithin unterschätzte Gefahr neben SQL Injections ist Crossside Scripting.
bei der Ausgabe behoben.htmlentities()
-
Ich halte es für fast schon sträflich auf so eine Frage mit dem posten eines einzelnen PHP Befehls zu antworten. Nett formuliert.
Ich würde dir wie adrians empfehlen dich erst mal generell in die Materie einzuarbeiten. Anbei ein paar Links die helfen sollten:
http://typo3.org/documentation/document-library/guides/doc_guide_security/1.0.1/view/1/4/
http://phpsec.org/projects/guide/
http://php.robm.me.uk/
Was reine DB Injections angeht kannste dir auch noch mal MySQLi und prepared statements anschauen. Generell würde ich aber empfehlen das Rad nicht neu zu erfinden (es sei denn für den Lerneffekt), sondern auf Frameworks bzw. CMS zurückzugreifen. Die haben meist eine ausgeklügelte Logik in allen Aspekten von Sicherheit: Seesionhandling, Input Sanitizing, Abstraction, Logging, etc. -
Vielen Dank euch alle,werde mir die geposteten links durchlesen und auch mal in verschiedene OpenSource Projekte die auf MYSQL zurückgreifen ansehen.
-
Bitte die Suche verwenden, Thema wurde schon sehr häufig hier angesprochen.
Bspw: http://www.lima-city.de/board/action:jump/1049524
Closed.
edit by Syberpsace: hiermit geschlossen.
Beitrag zuletzt geändert: 26.6.2012 16:56:33 von syberpsace -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage