Sicherheit

Einklappen
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
  • #1

    Sicherheit

    Wie kann man vermeiden, dass der Benutzer in einem Formular keine SQL eingibt?

    Bzw nicht vermeiden sondern, die Query in einen Text umwandeln.
    Pickel ? Übergewicht ? Depressionen ?
    Brot, Kartoffeln und Milch sind Gift!
    http://www.paleofood.de
    Stichworte: -
  • #2
    Re: Sicherheit

    Original geschrieben von antman
    Wie kann man vermeiden, dass der Benutzer in einem Formular keine SQL eingibt?
    Vielleicht indem man ihm unter Androhung von Strafen vorschreibt, dass er SQL eingeben muss ...?
    Bzw nicht vermeiden sondern, die Query in einen Text umwandeln.
    Eine Formulareingabe ist Text.


    Aber vermutlich bist du mal wieder nicht in der Lage, deine Frage präzise zu formulieren - möchtest dich aber mit http://www.php.net/manual/de/security.database.php beschäftigen.
    Zuletzt geändert von wahsaga; 03.03.2006, 13:25.
    I don't believe in rebirth. Actually, I never did in my whole lives.

    Kommentar

    • #3
      Wie kann man vermeiden, dass der Benutzer in einem Formular keine SQL eingibt?
      Indem du die Form Eingabe vllt prüfst. NEVER TRUST INCOMING DATA

      Gruss

      tobi
      Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

      [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
      Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

      Kommentar

      • #4
        Danke für das Link.

        Noch eine letzte Frage:

        Warum kann ich irgendeinen Müll im Feld Preis eingeben und php meint es sei eine Zahl:

        PHP-Code:
         $preis str_replace(",""."$_POST['preis']);
         if(!        is_numeric($preis)) {
             echo         "Bitte geben Sie einen gültigen Preis ein.";
                } else {     
                            $preis sprintf("%01.2f"$preis); 
        Pickel ? Übergewicht ? Depressionen ?
        Brot, Kartoffeln und Milch sind Gift!
        http://www.paleofood.de

        Kommentar

        • #5
          Ich würde mal stark vermuten, dass is_nummeric() im String Falle eine Typen Konvertierung vornimmt.
          Da kommt bei einem String wohl 0 bei raus und das ist ne Zahl.
          Aber wie gesagt ist ne Vermutung...

          Gruss

          tobi
          EDIT:

          Gib mal ein Bsp von Müll den die Fkt als Zahl ansieht
          Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

          [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
          Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

          Kommentar

          Vorherige template Weiter
          Lädt...
          X