Wie kann man sich vor SQL Injection Schützen?
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
anfrage
antworten
beste antwort
datenbank
eingabe
form
forum
frage
http
manual
methode
parameter
schau
statement
transaktion
url
vergessen
vorteil
-
Hey, wollte mal fragen was man gegen die SQL Injection machen kann?
Wie kann ich überprüfen ob meine Seite sauber ist? -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Jede User-Eingabe validieren und auch alle Get Parameter nicht vergessen zu validieren. Wenn du überall bei den Datenbankanfragen darauf achtest, das numerische Werte auch nur numerische Werte an die Datenbank geschickt werden und alle anderen mit z.B. mysql_real_escape_string escaped werden, dann bist du geschützt.
-
Indem du die SuFu des Forums nutzt^^
wir haben hier im Forum bestimmt schon 100 Beiträge dazu, mit sehr guten Antworten, da wirst du sehr fündig.
Alternativ, die beste Antwort eigentlich: Schau dir prepared statements an. Dies sind Methoden von MySQLi und PDO um SQL Anfragen abzusichern. Dies hat für dich sogar gleich 2 Vorteile: Prepared Statements schützen dich vor Injections, wenn du sie richtig benutzt, (du hättest auch noch andere Features wie Transaktionen und ähnliches, aber das ist meist egal), und du bist Zukunftssicher, denn mysql wird in der Form bald entfernt. Seit PHP5.5.0 ist mysql (zb mysql_connect http://de1.php.net/manual/en/function.mysql-connect.php) deprecated.
Liebe Grüße -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage