Hallo,
da ich immermal vereinzelt was über die Sicherheit von mySQL-Abfragen in Verbindung mit Formularen gelesen habe, möchte ich mal fragen, was man nun wirklich alles machen sollte.
Wenn ich also ein Formular habe, in dem per POST oder GET die id und weitere Daten eines Eintrages geliefert werden und ich etwas machen will wie:
Überprüfe ich erst die ID
und dann noch auf mySQL-Schlüsselwörter
Reicht das, oder bleiben dann noch Sicherheitslücken offen?
Gibt es noch mehr "böse" Schlüsselwörter oder reichen die 4?
da ich immermal vereinzelt was über die Sicherheit von mySQL-Abfragen in Verbindung mit Formularen gelesen habe, möchte ich mal fragen, was man nun wirklich alles machen sollte.
Wenn ich also ein Formular habe, in dem per POST oder GET die id und weitere Daten eines Eintrages geliefert werden und ich etwas machen will wie:
PHP-Code:
$query = "UPDATE `table` SET `wert` = '".$_POST["wert"]."' WHERE id=$id";
PHP-Code:
if (!is_numeric($id)) die("Nö");
PHP-Code:
$badwords = array("select", "union", "where", "drop");
foreach($_POST as $key=>$value)
foreach($baswords as $wort)
if (eregi("[ ]+".$wort."[ ]+", $value)) die("Nö");
Gibt es noch mehr "böse" Schlüsselwörter oder reichen die 4?
Kommentar