zurück zur Startseite
  


Zurück XHTMLforum > Webentwicklung (außer XHTML und CSS) > Serveradministration und serverseitige Scripte
Seite neu laden MySql Sicher gegen Angriffe

Antwort
 
LinkBack Themen-Optionen Ansicht
  #1 (permalink)  
Alt 27.10.2010, 15:57
Erfahrener Benutzer
XHTMLforum-Mitglied
Thread-Ersteller
 
Registriert seit: 12.07.2009
Beiträge: 969
rs-web befindet sich auf einem aufstrebenden Ast
Standard MySql Sicher gegen Angriffe

Hey,
ist folgendes Script Injectionssicher?
PHP-Code:
$wert$mysql->mysql_real_escape_string($_POST['wert']);
$sql "INSERT INTO tabelle (wert) VALUES ('".$wert."')"
Danke schon Mal

LG rs-web
__________________
Small boy wrote to Santa Claus:"Send me a brother!" Santa wrote back: "Send me your mother"
Mit Zitat antworten
Sponsored Links
  #2 (permalink)  
Alt 27.10.2010, 16:52
Benutzerbild von protonenbeschleuniger
Verbesserer
XHTMLforum-Kenner
 
Registriert seit: 06.09.2007
Beiträge: 4.977
protonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblick
Standard

Ja, wenn du diese Funktion aufrufst: PHP: mysql_real_escape_string - Manual
Mit Zitat antworten
Sponsored Links
  #3 (permalink)  
Alt 27.10.2010, 17:09
Erfahrener Benutzer
XHTMLforum-Mitglied
Thread-Ersteller
 
Registriert seit: 12.07.2009
Beiträge: 969
rs-web befindet sich auf einem aufstrebenden Ast
Standard

Ja, die meinte ich

Ok, war mir nur nicht sicher, ob diese Funktion als einziges Sicherheitsmittel gegen Sql Injections reicht. Und danke für die Antwort

LG rs-web
__________________
Small boy wrote to Santa Claus:"Send me a brother!" Santa wrote back: "Send me your mother"
Mit Zitat antworten
  #4 (permalink)  
Alt 28.10.2010, 20:56
Benutzerbild von David
auch, ja!
XHTMLforum-Kenner
 
Registriert seit: 08.11.2007
Beiträge: 2.626
David ist ein wunderbarer AnblickDavid ist ein wunderbarer AnblickDavid ist ein wunderbarer AnblickDavid ist ein wunderbarer AnblickDavid ist ein wunderbarer AnblickDavid ist ein wunderbarer AnblickDavid ist ein wunderbarer Anblick
Standard

Dennoch sollte man nicht aus falscher Vorsicht über jeden Input nur mit dieser Funktion drüber bügeln.
__________________
github | http://dnaber.de
Mit Zitat antworten
  #5 (permalink)  
Alt 28.10.2010, 21:07
Erfahrener Benutzer
XHTMLforum-Mitglied
Thread-Ersteller
 
Registriert seit: 12.07.2009
Beiträge: 969
rs-web befindet sich auf einem aufstrebenden Ast
Standard

Nunja. Es ist bei mir die "letzte" Stufe. Also vorher wird z.B. die email Syntak geprüft. Aber bei Benutzernamen kann man trotz RegExp noch ein INSERT o.Ä mit reinschreiben.

Ich wollte mir jetzt die Arbeit machen und einen Filer bauen, der sachen wie INSERT, SELECT, ... komplett rauslöscht.

LG rs-web
__________________
Small boy wrote to Santa Claus:"Send me a brother!" Santa wrote back: "Send me your mother"
Mit Zitat antworten
  #6 (permalink)  
Alt 28.10.2010, 21:55
Benutzerbild von Praktikant
Semantikbremse.
XHTMLforum-Kenner
 
Registriert seit: 22.04.2008
Beiträge: 4.985
Praktikant kann auf vieles stolz seinPraktikant kann auf vieles stolz seinPraktikant kann auf vieles stolz seinPraktikant kann auf vieles stolz seinPraktikant kann auf vieles stolz seinPraktikant kann auf vieles stolz seinPraktikant kann auf vieles stolz seinPraktikant kann auf vieles stolz seinPraktikant kann auf vieles stolz sein
Standard

Zitat:
Zitat von rs-web Beitrag anzeigen
Ich wollte mir jetzt die Arbeit machen und einen Filer bauen, der sachen wie INSERT, SELECT, ... komplett rauslöscht.
Das geht mit preg_replace() oder str_replace() relativ einfach

PHP-Code:
preg_replace('~insert|select|update|etc~iU'''$string); // etc ist zu ersetzen.
str_replace('insert'''$string); // Entsprechend für die anderen... 
__________________
Rettet die Erde.... sie ist der einzige Planet mit Schokolade!
Mit Zitat antworten
  #7 (permalink)  
Alt 28.10.2010, 22:24
Benutzerbild von inta
free as in freedom
XHTMLforum-Kenner
 
Registriert seit: 04.12.2006
Ort: Berlin
Beiträge: 5.016
inta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz sein
Standard

Zitat:
Zitat von rs-web Beitrag anzeigen
Ich wollte mir jetzt die Arbeit machen und einen Filer bauen, der sachen wie INSERT, SELECT, ... komplett rauslöscht.
Zitat:
Zitat von Praktikant Beitrag anzeigen
Das geht mit preg_replace() oder str_replace() relativ einfach
Das ist sinnlos. Ohne das Statement vorzeitig zu beenden, kann man mit INSERT oder ähnlichem nichts erreichen. Dass das Statement nicht beendet werden kann, verhindert mysql_real_escape_string.
Mit Zitat antworten
  #8 (permalink)  
Alt 28.10.2010, 23:07
Benutzerbild von protonenbeschleuniger
Verbesserer
XHTMLforum-Kenner
 
Registriert seit: 06.09.2007
Beiträge: 4.977
protonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblick
Standard

Zitat:
Zitat von David Beitrag anzeigen
Dennoch sollte man nicht aus falscher Vorsicht über jeden Input nur mit dieser Funktion drüber bügeln.
Wieso nicht?
Mit Zitat antworten
  #9 (permalink)  
Alt 29.10.2010, 00:22
Benutzerbild von David
auch, ja!
XHTMLforum-Kenner
 
Registriert seit: 08.11.2007
Beiträge: 2.626
David ist ein wunderbarer AnblickDavid ist ein wunderbarer AnblickDavid ist ein wunderbarer AnblickDavid ist ein wunderbarer AnblickDavid ist ein wunderbarer AnblickDavid ist ein wunderbarer AnblickDavid ist ein wunderbarer Anblick
Standard

Wenn ich z.B. ein Integer erwarte, kann ich auf Ziffern prüfen und so falsche Werte abfangen bevor sie in die Query eingefügt werden und am Ende noch ein Fehler verursachen. Escapen tu ich nur dann, wenn Steuerzeichen nicht ausgeschlossen werden können, oder eine Prüfung der erwarteten Werte zu aufwändig wäre.
__________________
github | http://dnaber.de
Mit Zitat antworten
Sponsored Links
  #10 (permalink)  
Alt 29.10.2010, 00:42
Benutzerbild von Pascolo
Stiller Leser
XHTMLforum-Mitglied
 
Registriert seit: 24.11.2007
Ort: Cham
Beiträge: 640
Pascolo sorgt für eine eindrucksvolle AtmosphärePascolo sorgt für eine eindrucksvolle Atmosphäre
Standard

Gegen Manipulationen sollten doch eigentlich auch prepared Statements helfen, oder? In der PHP-Dokumentation steht, dass man damit prinzipiell vor SQL-Injektionen geschützt ist und das auch ohne Maskierungen resp. Überprüfungen. Allerdings scheint mir der folgende Abschnitt etwas konfus zu sein:

Zitat:
Zitat von PHP.NET
Die Parameter für Prepared Statements müssen nicht maskiert werden. Der Treiber übernimmt das für Sie. Wenn Ihre Anwendung ausschließlich Prepared Statements benutzt, können Sie sicher sein, dass keine SQL-Injection auftreten wird. [...] Wenn Sie aber trotzdem andere Teile der Abfrage aus nicht zuverlässigen Eingaben generieren, sind Sie immer noch gefährdet.

Quelle: Prepared Statements und Stored Procedures
Ist man nun gefährdet oder nicht? Kann mich einer von euch aufklären was damit genau gemeint ist?
__________________
Mit freundlichen Grüssen "Pascolo"

Guter Webspace eSport Topliste Meine Lesezeichen Meine Spielwiese

Geändert von Pascolo (29.10.2010 um 00:52 Uhr) Grund: Kleine Ergänzung meiner Frage
Mit Zitat antworten
Sponsored Links
Antwort

Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
von MySQL WB genreriertes SQL erzeugt Fehler kampfgnom Serveradministration und serverseitige Scripte 2 16.11.2008 15:34
Alternativen zur Nutzung von (My)SQL? domsson Serveradministration und serverseitige Scripte 4 06.04.2008 23:06
Ernsthafte Fragen zu MySQL und seiner Indizierung KartoffelKiffer Serveradministration und serverseitige Scripte 2 26.01.2008 01:36
mySQL Problem Sp33dy G0nz4l3s Serveradministration und serverseitige Scripte 4 19.08.2007 17:55
Menge an SQL Befehlen pro Seite / MySQL Leistungsfähigkeit gelleneu Serveradministration und serverseitige Scripte 11 20.07.2007 15:41


Alle Zeitangaben in WEZ +2. Es ist jetzt 13:32 Uhr.