|
|||
MySql Sicher gegen Angriffe
Hey,
ist folgendes Script Injectionssicher? PHP-Code:
LG rs-web
__________________
Small boy wrote to Santa Claus:"Send me a brother!" Santa wrote back: "Send me your mother" |
Sponsored Links |
|
||||
Ja, wenn du diese Funktion aufrufst: PHP: mysql_real_escape_string - Manual
|
Sponsored Links |
|
|||
Ja, die meinte ich
Ok, war mir nur nicht sicher, ob diese Funktion als einziges Sicherheitsmittel gegen Sql Injections reicht. Und danke für die Antwort LG rs-web
__________________
Small boy wrote to Santa Claus:"Send me a brother!" Santa wrote back: "Send me your mother" |
|
|||
Nunja. Es ist bei mir die "letzte" Stufe. Also vorher wird z.B. die email Syntak geprüft. Aber bei Benutzernamen kann man trotz RegExp noch ein INSERT o.Ä mit reinschreiben.
Ich wollte mir jetzt die Arbeit machen und einen Filer bauen, der sachen wie INSERT, SELECT, ... komplett rauslöscht. LG rs-web
__________________
Small boy wrote to Santa Claus:"Send me a brother!" Santa wrote back: "Send me your mother" |
|
||||
Zitat:
|
|
||||
Wenn ich z.B. ein Integer erwarte, kann ich auf Ziffern prüfen und so falsche Werte abfangen bevor sie in die Query eingefügt werden und am Ende noch ein Fehler verursachen. Escapen tu ich nur dann, wenn Steuerzeichen nicht ausgeschlossen werden können, oder eine Prüfung der erwarteten Werte zu aufwändig wäre.
|
Sponsored Links |
|
||||
Gegen Manipulationen sollten doch eigentlich auch prepared Statements helfen, oder? In der PHP-Dokumentation steht, dass man damit prinzipiell vor SQL-Injektionen geschützt ist und das auch ohne Maskierungen resp. Überprüfungen. Allerdings scheint mir der folgende Abschnitt etwas konfus zu sein:
Zitat:
__________________
Mit freundlichen Grüssen "Pascolo" Guter Webspace eSport Topliste Meine Lesezeichen Meine Spielwiese Geändert von Pascolo (29.10.2010 um 00:52 Uhr) Grund: Kleine Ergänzung meiner Frage |
Sponsored Links |
Themen-Optionen | |
Ansicht | |
|
|
Ähnliche Themen | ||||
Thema | Autor | Forum | Antworten | Letzter Beitrag |
von MySQL WB genreriertes SQL erzeugt Fehler | kampfgnom | Serveradministration und serverseitige Scripte | 2 | 16.11.2008 15:34 |
Alternativen zur Nutzung von (My)SQL? | domsson | Serveradministration und serverseitige Scripte | 4 | 06.04.2008 23:06 |
Ernsthafte Fragen zu MySQL und seiner Indizierung | KartoffelKiffer | Serveradministration und serverseitige Scripte | 2 | 26.01.2008 01:36 |
mySQL Problem | Sp33dy G0nz4l3s | Serveradministration und serverseitige Scripte | 4 | 19.08.2007 17:55 |
Menge an SQL Befehlen pro Seite / MySQL Leistungsfähigkeit | gelleneu | Serveradministration und serverseitige Scripte | 11 | 20.07.2007 15:41 |