ja der rest nach der banane war auch sehr hilfreich ...
-
Das aber nur, weil ein unfähige Programmierer geproggt hat. Schieb dieOriginal geschrieben von slomox
Das mit der Sicherheit stimmt natürlich, wenn per Skript vom User eingetragener Inhalt in die DB gespeichert wird, und Sonderzeichen nicht explizit maskiert werden, ermöglicht das das eintragen von beliebigen Befehlen, also wird es zumindest mit dem mysql_query()-Befehl auch niemals funktionieren.
Danke
OffTopic:
Hier wird aber schneller geantwortet als im XML-Forum
Schuld nicht auf das DBMS, MS-SQL und viele anderen DBMS können sowas,
und es eher eine Bereicherung als eine Sicherheitslücke.Einen Kommentar schreiben:
-
wenn du nach der banane weitergelesen hättest, hättest du das nicht gesagt. und php ist trocken genug als dass man schon mal ausschweifen kann .... und wenns zum obst ist@happiness
also für nen moderator lieferst du in deinem ersten post aber echt einen traurigen beitrag. hätteste dir auch sparen können.Einen Kommentar schreiben:
-
@happiness
also für nen moderator lieferst du in deinem ersten post aber echt einen traurigen beitrag. hätteste dir auch sparen können.
@threatstarter
du könntest deine sqlanweisungen in ein array einlesen und dann element für element abarbeiten lassen. ist vielleicht etwas mehr aufwand als wenn man das ganze mit semikola trennt aber wie gesagt gibt es dort auch sicherheitstechnische bedenken.
das ganze nennt sich dann sql injection. eine sql injection ist das einschleusen von sqlcode, der etwas verursacht, dass deine anwedung angreifbar macht. z.B. alle passwörter von usern auf einen standartwert zu setzen.
dazu kannst ja mal folgendes lesen
http://de3.php.net/manual/de/security.database.php
vor einiger zeit war dazu auch ein artikel unter www.heise.de/security/ zu finden. sehr interessant.
getreu dem motto .... "validate or die"
Einen Kommentar schreiben:
-
@mrhappiness: Natürlich, aber ich kenne prominente Beispiele, wo das nicht der Fall ist!
Einen Kommentar schreiben:
-
aber da man als umsichtiger entwickler natürlich immer vom schlechten im menschen ausgeht, sieht das vorher und prüft die daten, die man bekommt...Einen Kommentar schreiben:
-
Das mit der Sicherheit stimmt natürlich, wenn per Skript vom User eingetragener Inhalt in die DB gespeichert wird, und Sonderzeichen nicht explizit maskiert werden, ermöglicht das das eintragen von beliebigen Befehlen, also wird es zumindest mit dem mysql_query()-Befehl auch niemals funktionieren.
Danke
OffTopic:
Hier wird aber schneller geantwortet als im XML-ForumEinen Kommentar schreiben:
-
was soll denn das bitte schön heissen ?Original geschrieben von MaxP0W3R
Und aus sicherheitstechnischen Gründen ist das ganze auch sinnvoll.Einen Kommentar schreiben:
-
Und aus sicherheitstechnischen Gründen ist das ganze auch sinnvoll.Einen Kommentar schreiben:
-
einzeln absetzen, was anderes ist IMHO z.Z. (noch) nicht möglich.Einen Kommentar schreiben:
-
Re: mysql_query()
weil niemand in den dschungel zog und die banane gerade bogOriginal geschrieben von slomox
warum das so istkeine, es sei denn du lässt dich von phpmyadmin inspirieren, da geht's ja,wobei ich das streng genommen nur als halbe alternative bezeichnen würdewelche Alternativen es gibt (außer mehrere mysql_query()-Anweisungen zu benutzen)?Einen Kommentar schreiben:
-
mysql_query()
Ich wollte per mysql_query() mehrere Befehle durch Semikolon getrennt. auf einmal ausführen lassen, woraufhin ein Syntaxfehler gemeldet wurde.
Also hab ich mal hier in das PHP-Handbuch geschaut und da stand tatsächlich, dass die MySQL-Anweisung nicht auf Semikolon enden darf (und damit wohl auch nicht mehrere Anweisungen enthalten darf).
Kann mir jemand erklären, warum das so ist, und welche Alternativen es gibt (außer mehrere mysql_query()-Anweisungen zu benutzen)?
Einen Kommentar schreiben: