17.11.2008, 18:08
|
||||
|
||||
Sicherheitscheck (mysql real escape)
Wenn ich meine "GETs" zuerst mit htmlspecialchars codiere, anschließend auf ausschließlich alphanumerischen Inhalt prüfe und dann noch mal durch eine Whitelist überprüfe, muss ich dann unbedingt noch mysql_real_escape_string anwenden, um sie in einer Datenbankabfrage zu verwenden? Eigentlich doch nicht oder?
|
| Sponsored Links |
|
17.11.2008, 18:13
|
||||
|
||||
|
Htmlspecialchars() ist an dieser Stelle „falsch“, das solltest du nutzen bevor du Werte auf deiner Seite ausgibst, nicht für Werte die du anderweitig weiterverarbeitest.
Solange du nicht mit Mysqli oder PDO arbeitest, solltest du auf mysql_real_escape_string() nicht verzichten, Vorsicht ist besser als Nachsicht. 
|
| Sponsored Links |
|
17.11.2008, 18:13
|
||||
|
||||
|
Machs doch einfach, stört doch nicht
__________________
Meine Spielwiese: http://blog.kanedo.net Ich bei Flickr? Da: Flickr: Fotostream von kanedo-projekt Für open Source Liebhaber: open Com Auch ich Zwitschere als @kanedo
|
|
17.11.2008, 18:20
|
||||
|
||||
|
Zitat:
Außerdem sind solche übervorsichtigen Maßnahmen häufig ein Zeichen schierer Unwissenheit. Vorsicht ist zwar besser als Nachsicht. Doch noch besser es, die Unwissenheit durch Wissen zu ersetzen, um eben auch die Ursachen zu ergründen.
__________________
Markus Wulftange
|
|
17.11.2008, 18:45
|
||||
|
||||
|
Sprich, ein "escapen" ist dort notwendig, wo ich die Eingaben nicht auf Zahlen und Buchstaben beschränken kann.
Zitat:
Noch eine Frage in dem Zusammenhang: während der "Entwicklungsphase" kann es ja sinnvoll sein, den mysql_error in zusammenhang mit dem Verwendeten SQL-Befehl auszugeben um Fehler schneller zu finden. Ist das dann im 'Betriebszustand' auch ratsam? Geändert von David (17.11.2008 um 18:54 Uhr)
|
|
17.11.2008, 19:19
|
||||
|
||||
|
Im Produktivsystem sollten keine technischen Fehlermeldungen an den Benutzer ausgegeben werden. Einerseits helfen sie ihm sowieso nicht weiter. Und andererseits können die Fehlermeldungen womöglich wichtige oder sensible Informationen enthalten, die gar nicht für ihn bestimmt sind (etwa Informationen über die internen Strukturen).
Deswegen sollten keine vom System erzeugten Fehlermeldungen ausgegeben sondern nur protokolliert werden. Dem Benutzer kann dann eine allgemeine Fehlermeldung präsentiert werden, um ihn über die Situation zu informieren.
__________________
Markus Wulftange
|
 |
| Themen-Optionen | |
| Ansicht | |
|
|
Ähnliche Themen
|
||||
| Thema | Autor | Forum | Antworten | Letzter Beitrag |
| von MySQL WB genreriertes SQL erzeugt Fehler | kampfgnom | Serveradministration und serverseitige Scripte | 2 | 16.11.2008 14:34 |
| Alternativen zur Nutzung von (My)SQL? | domsson | Serveradministration und serverseitige Scripte | 4 | 06.04.2008 22:06 |
| Ernsthafte Fragen zu MySQL und seiner Indizierung | KartoffelKiffer | Serveradministration und serverseitige Scripte | 2 | 26.01.2008 00:36 |
| mySQL Problem | Sp33dy G0nz4l3s | Serveradministration und serverseitige Scripte | 4 | 19.08.2007 16:55 |
| MySQL Service deinstallieren | NEOX | Serveradministration und serverseitige Scripte | 1 | 28.08.2006 19:55 |
Linear-Darstellung
