SQL-Injections abfangen

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • SQL-Injections abfangen

    Hallo,
    ich habe ein Frage zu SQL-Injections. Ist es möglich diese abzufagen, wenn ja wie? Gibt es vielleicht schon eine Funktion oder Klasse dafür? Ich bin für jeden Hinweis dankbar.

    MfG Marco Zimmermann

  • #2
    eigentlich langt der gebrauch von gutem sql und mysql_escape_string() in php
    Beantworte nie Threads mit mehr als 15 followups...
    Real programmers confuse Halloween and Christmas because OCT 31 = DEC 25

    Kommentar


    • #3
      Eine "ordentliche" PHP Konfiguration ist noch besser, einfach magic_quotes_gpc anschalten und schon brauch man sich (fast) keine Sorgen mehr machen, oder du "behandelst" die GPC-Daten per array_map() mit addslashes() oder mysql_escape_string()!

      Kommentar


      • #4
        Keine Variablen benutzen, ohne sie vorher geprüft zu haben. is_numeric, intval etc sind Deine Freunde. Immer überprüfen, woher die Daten kommen. Wenn sie per Formular mittels POST kommen sollen, dann arbeite auch mit $_POST.

        Eine weitere sehr schöne Hilfe ist mod_security. Das ist ein Apache-Modul, mit dem man recht einfach Regeln definieren kann, die verhindern, das überhaupt event. schädliche Inhalte übertragen werden. So kann man zum Beispiel definieren, das 'script' oder 'INSERT' oder 'DELETE' nicht in einer URL vorkommen dürfen.
        Websitekritik | Für Anfänger

        Kommentar


        • #5
          Vielen Dank für die schnelle Hilfe.

          Kommentar


          • #6
            Original geschrieben von electr0n
            Eine "ordentliche" PHP Konfiguration ist noch besser, einfach magic_quotes_gpc anschalten und schon brauch man sich (fast) keine Sorgen mehr machen
            argh! das ist das gegenteil einer ordentlichen konfiguration!

            leider lassen viele provider diese option aber trotzdem auf on, um noobs mit eben dieser denkweise wenigstens ein bisschen vor sich selbst schützen zu können ...
            I don't believe in rebirth. Actually, I never did in my whole lives.

            Kommentar


            • #7
              schmarn...die Konfiguration ist nach den Infos die ich bisher erhalten habe gut. magic_quotes auf on hilft da schon ne menge

              mfg afogel
              Content Management at it's best:
              http://www.anyon.de

              Kommentar


              • #8
                Original geschrieben von afogel
                schmarn...die Konfiguration ist nach den Infos die ich bisher erhalten habe gut. magic_quotes auf on hilft da schon ne menge
                ich sagte ja bereits, das ist die noob-denkweise ...
                I don't believe in rebirth. Actually, I never did in my whole lives.

                Kommentar


                • #9
                  hi!

                  ähm.. ich bin auf dem gebiet auch noch ein noob, deshalb würd mich interessieren was gegen "magic_quotes" spricht. inwiefern könnte das zum problem werden

                  Kommentar


                  • #10
                    Original geschrieben von keztrel
                    deshalb würd mich interessieren was gegen "magic_quotes" spricht. inwiefern könnte das zum problem werden
                    - du ziehst mit deinem script zu einem andern hoster um, und vergisst dich zu vergewissern, ob es aktiviert ist.
                    - dein hoster deaktiviert es irgendwann (z.b. beim wechsel auf eine neue php-version), und vergisst bescheid zu sagen oder macht es zu spät.
                    - ...


                    zusammenfassung: du möchtest dich bei einem sicherheitsrelevanten thema nicht auf umgebungseinstellungen verlassen, die deiner kontrolle entzogen sind und sich nach belieben ändern können.
                    stattdessen möchtest du selbst für das notwendige maß an sicherheit sorgen, in dem du überall dort wo es angebracht ist, mysql_(real_)escape_string() verwendest.
                    I don't believe in rebirth. Actually, I never did in my whole lives.

                    Kommentar


                    • #11
                      ah k danke, das heisst der magic_quots tag selber ist nicht das problem sonder der verlass darauf...

                      Kommentar


                      • #12
                        richtig.

                        hier noch was zum lesen.....
                        http://www.php-resource.de/forum/sho...493#post219493

                        auch weiter oben und unten...
                        INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |


                        Kommentar


                        • #13
                          sry, bin nur gaaanz selten hier, aber das muss geklärt werden...

                          ich sagte ja bereits, das ist die noob-denkweise ...
                          http://ion.nuke.de

                          Willst du weiter diskutieren?

                          mfg afogel
                          Content Management at it's best:
                          http://www.anyon.de

                          Kommentar


                          • #14
                            Ein weiterer Punkt vom Verlass auf magic_quotes_gpc abzuraten, sind gerade Scripte die für die Weitergabe gedacht sind. Es kann nicht garantiert werden, dass alle die Möglichkeit haben auf die PHP Konfiguration zuzugreifen. Deswegen ist es IMHO besser generell so zu arbeiten, dass magic_quotes_gpc off ist.

                            Kommentar


                            • #15
                              man kann sich ja funktionen schreiben, die überprüfen, ob magic_quotes_* on oder off ist....
                              Das ist für mich also kein Argument....


                              mfg afogel
                              Content Management at it's best:
                              http://www.anyon.de

                              Kommentar

                              Lädt...
                              X