mysql Injektionen
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
allerhand beispiele
antwort
bestimmte zeichen
frage
funktion
halbwissen
injektion
mache
machen
mechanismus
rad
statement
stehen
string
url
verstehen
verwenden
wissen
zeichen
zerbrechen
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Finde das ist etwas zu umständlich, da ich jetzt schon jeden String durch eine Funktion schicke, die nur bestimmte Zeichen zulässt. Ich muss nur wissen, ob es noch andere Zeichen als ' gibt, die gefährlich werden können, wenn man Strings in den querys immer in ' ' schreibt
-
unlikus schrieb:
Hab da auch schon gesucht, aber da steht immer nur man soll mysql_real_escape_string verwenden.
Meine Frage ist ob es auch ohne geht, indem man ' zu & macht.
und
unlikus schrieb:
Finde das ist etwas zu umständlich, da ich jetzt schon jeden String durch eine Funktion schicke, die nur bestimmte Zeichen zulässt. Ich muss nur wissen, ob es noch andere Zeichen als ' gibt, die gefährlich werden können, wenn man Strings in den querys immer in ' ' schreibt
Auch wenn es für dich umständlicher sein wird, solltest das Rad nicht neu erfinden. Die Leute, die mysql_real_escape_string() und das PDO-Modul geschrieben haben, verstehen wirklich etwas von der Materie und wissen daher viel besser als wir, was sicher ist und was nicht.
Man kann sich natürlich den Kopf darüber zerbrechen, ob deine Strategie sicher ist. Aber selbst wenn du hier eine Antwort bekommst, wirst du selber nicht beurteilen können, ob diese Antwort auf solidem Hintergrundwissen oder gefährlichem Halbwissen basiert.
Daher: Nimm PDO. Es dauert zwar sich einzulesen, aber damit hast du auf jeden Fall einen sehr hohen Sicherheitsstandard.
Beitrag zuletzt geändert: 10.3.2013 14:25:25 von bladehunter -
unlikus schrieb:
und es gibt dort allerhand beispiele, die es dir zu erklären suchen die mechanismen zu verstehen. wie viele beispiele hast du dir angesehen??
Hab da auch schon gesucht, aber da steht immer nur man soll mysql_real_escape_string verwenden.Meine Frage ist ob es auch ohne geht, indem man ' zu & macht.
ein testprog dazu zu schreiben dauert - wenn schon sehr lange - max.2min. tu es dir selber an und das ergebnis kannst du hier veröffentlichen.
unlikus schrieb:
das eine ' hat mit dem anderen ' nichts zu tun! wenn es steht zb.: $var = '... \'... '; das in der mitte kann es dann schon in sich haben!
Finde das ist etwas zu umständlich, da ich jetzt schon jeden String durch eine Funktion schicke, die nur bestimmte Zeichen zulässt. Ich muss nur wissen, ob es noch andere Zeichen als ' gibt, die gefährlich werden können, wenn man Strings in den querys immer in ' ' schreibt
nimm dir einfach die google-liste, die ich dir geschickt habe vor und sehe dir den ersten (1.!!) treffer an. lese es durch so lange du es endlich verstanden hast, dann kann hier die unnötige fragerei wegen & einfach aufhören. -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage