URL manipulieren

**goth** · 16.11.2005, 17:33

Eine Einfache auf jeden Fall:

PHP-Code:


$result = mysql_query('SELECT * FROM test LIMIT '.(int)$page);

**lupo** · 16.11.2005, 17:53

Ja, die ist einfach

Mit dem Integer habe ich mir auch schon überlegt, aber den werden ja die negativen Zahlen, Oktalzahlen und Hexadezimal Zahlen auch "durchgelassen"?

Gibt es noch etwas anderes? Eventuell Zeichen ersetzen? Aber das dürfte wohl eine etwas schlechtere Lösung sein?

**Le_Cheffe** · 17.11.2005, 08:47

Hi !

So direkt würde ich nie eine Variable an eine SQL-Abfrage weitergeben. Ich löse das auf eine meinetwegen etwas umständliche, aber sichere Variante.
if (page =1) {
page=1
} elseif (page=2) {
page=2
...
} else {
page=1
}

So kann ich sicher gehen, dass keine bösen Zeichen oder sonstwas in die Abfrage reinkommen. Und wenn du nicht 5000 Möglichkeiten für page hast, dann sollte das machbar sein.
Sicher ist es auch möglich, den Inhalt von page irgendwie zu parsen und mit allen möglichen Befehlen zu bearbeiten, aber ist mir für mich zuviel Aufwand.

Gruß

Le Cheffe

**matz0r** · 17.11.2005, 09:40

Naja, die Variante is normalweise nicht machbar (Forum, Memberliste, ...)

Ich würde es so machen:

PHP-Code:


$page = $_GET['page']



if( !ctype_digit($page) ) {

->fehler

}



if( !sql_abfrage_page($page) ) {

->fehler

}else{

ausgabe

}

Und in der sql_abfrage_page() halt checken ob die http://de.php.net/mysql_real_escape_string($page) existiert und mit true/false antworten.

**wahsaga** · 17.11.2005, 09:56

Original geschrieben von Le_Cheffe
Ich löse das auf eine meinetwegen etwas umständliche, aber sichere Variante.
if (page =1) {
page=1
} elseif ...
So kann ich sicher gehen, dass keine bösen Zeichen oder sonstwas in die Abfrage reinkommen.

Außerdem kannst du so sichergehen, dass er immer nur in den allerersten IF-Zweig reingeht - brauchst also die restlichen gar nicht mehr ausprogrammieren *respekt*

**saraneus** · 17.11.2005, 11:12

Wuahahaha ;-)))

Prüfe den übergebenen Wert einfach auf seine Gültigkeit, zB den Datentyp des Tabellenfelds. Das kannst du mit is_numeric und ggf. strlen. Des Weiteren ist eine negative Zahl im SQL-Statement syntaktisch nicht inkorrekt, also bekommst du einfach keinen Datensatz zurück. Und das musst du ja sowieso abfangen.

**goth** · 17.11.2005, 11:38

Original geschrieben von saraneus
Des Weiteren ist eine negative Zahl im SQL-Statement syntaktisch nicht inkorrekt, ...

Cool ... das muss ein neuer Sicherheitsmechanismus sein, den ich noch nicht kenne ... !

... und wenn ich dann 'nen negativen Wert speichern will ... wie mache ich das in Deiner neuen SQL-Version ... ?!

**saraneus** · 17.11.2005, 11:40

Original geschrieben von goth
Cool ... das muss ein neuer Sicherheitsmechanismus sein, den ich noch nicht kenne ... !

Ich bin sicher, du hast dich nur verlesen ...

**goth** · 17.11.2005, 11:52

Das denke ich auch ... den zitierten Blödsinn kannst Du nicht geschrieben haben ... mein Fehler ... !

**saraneus** · 17.11.2005, 11:56

Original geschrieben von goth
Das denke ich auch ... den zitierten Blödsinn kannst Du nicht geschrieben haben ... mein Fehler ... !

Geschrieben hab ich's, aber den "Blödsinn" hast DU interpretiert. Nochmal für's bayerische Ausland:

"ist eine negative Zahl im SQL-Statement syntaktisch nicht inkorrekt" bedeutet "ist eine negative Zahl im SQL-Statement syntaktisch gültig"

Code:

if("nicht inkorrekt" == "gültig") {
    echo "Jetzt hast du's kapiert.";
}

**matz0r** · 17.11.2005, 13:12

Die Logik in deiner Welt tickt halt bissel anders.

Ich hab doch schon nen Prima vorschlag gemacht, Ruhe jetzt. :P

**lupo** · 17.11.2005, 13:20

Erstmal vielen Dank für zahlreichen Beiträge *super* - sind ein paar gute Ansätze dabei

Am besten gefällt mir die Lösung mit den Dezimalzeichen (ctype_digit).

Mal ausprobieren.

URL manipulieren