Sichere Formular eingaben

**onemorenerd** · 08.05.2005, 15:40

mysql_real_escape_string() ist geeigneter.

mysql_real_escape_string():
... taking into account the current character set of the connection ...
... calls MySQL's library function mysql_escape_string, which prepends backslashes to the following characters: NULL, \x00, \n, \r, \, ', " and \x1a.

addslashes():
Returns a string with backslashes before characters that need to be quoted in database queries etc. These characters are single quote ('), double quote ("), backslash (\) and NUL (the NULL byte).

Steht alles im Manual!

**wahsaga** · 09.05.2005, 09:19

Re: Sichere Formular eingaben

Original geschrieben von martinm79
Reicht es, wenn ich addslashes() einsetzte und die input Felder sicher geschütz sind?

was willst du denn eigentlich machen?

daten in eine mysql-db eintragen? dann mysql_real_escape_string nutzen.

oder nur eingegebene daten wieder ausgeben, ohne dass es dir die ausgabe zerhauen kann? dann htmlspecialchars() nutzen.

**martinm79** · 10.05.2005, 01:39

Ich will die Eingaben in mysql speichern. Hatte zuerst immer gefährliche Eingaben gefiltern und dann eine fehler meldung ausgegeben, aber das kann ich nur beim input feld machen, wo man einen namen eingibt.
Bei textarea Feldern habe ich jetzt die function

PHP-Code:


$_POST = in($_POST);

eingesetzt.

PHP-Code:


function in($input)

{

    return @mysql_escape_string($input);

}

function out($raus)

{

    return @stripslashes($raus);

}

Könnte man nicht mittels preg_match, bestimmte Wörter wie delete,update und so, die eingabe felder durchsuchen? Oder bringt das nicht?
Weiß ja nicht wo die größte gefahr ist.
WÜRDE MICH ABER INTERESSIEREN..

**onemorenerd** · 10.05.2005, 09:18

Google -> SQL Code Injection (Beispiele)

Sichere Formular eingaben