SQL-Injection

Re: SQL-Injection

Und darauf fällt dir mit ein wenig eigenem Nachdenken keine sinnvolle Antwort ein ...?
strip_tags habe ich schon immer für Mist gehalten.
Warum nicht ein einfaches htmlspecialchars()?

Nein, zumindest nicht auf diese Weise.

Absichern für MySQL beim Eintragen in MySQL.
Absichern für die Ausgabe bei der Ausgabe.

War der Meinung das "ja" die richtige Antwort sei, aber ich war mir nicht sicher, deshalb die in deinen Augen wahrscheinlich dumme Frage.

Etwa so?



O.K. Verstanden!

Ausgabe wohin? Bei der Ausgabe von Daten aus der DB?

am thema vorbei:

soo wir reden hier über sql injects?
was zum henker hat html-code damit zu tun... *kopfschüddel*

kurz zur Problematik:

Ein SQL Inject ist der Versuch, mittels Formular illegal die datenbank zu füttern. Das hat nichts damit zu tun, dass jemand html-code reinschreibt. Das kann ja unter gewissen umsänden sogar erwünscht sein.

nein, vielmehr geht es darum, datensätze zu manipulieren oder eigentlich geschützte datensätze auszulesen, indem man geschickt formulierte SQL-Statements per Formular übergibt.

so könnte man zum beispiel bei einem login eine manipulation versuchen:

nehmen wir an, wir wollen nach dem login folgendes tun:

SELECT id FROM users WHERE (email='$_POST[email]') AND (password='$_POST[password]')

der böswillige user würde nun versuchen, die tatsache, dass die daten email und password in der sql-query vorhanden sind, für seine zwecke auszunutzen und eine innere query zu starten..

er könnte zum beispiel dort folgendes statement als password eingeben:
x' OR password<>'x

okay.. zugegebn .. ganz billiger versuch und vermutlich auch nicht wirklungsvoll, aber ich mag jetzt nicht über escapes und anführungszeichen nachdenken. In der realität geht es so nicht, sondern musss chon etwas cleverer angestellt werden.

theoretisch würde das aber (wenn man die escapezeichen uns sonderzeichen bei den ' mal außen vor lässt zu folgender query führen:

SELECT id FROM users WHERE (email='irgendwer@irgendwas.de') AND (password='x' OR password<>'x')

soo.. und schwupps kann ich mich als jeder einloggen, von dem ich nur die emailadresse kennen, denn das passwort wird in jedem fall gleich oder ungleich meiner zeichenfolge sein.

davor gilt es sich zu schützen...

das sollte die eigentlich thematik sein, und nicht die frage, darf mein kleiner user HTML verwenden..
au weia, wie schlimm..

greetz, high

@ highrise

danke für deine ausführliche Erklärung. War allerdings schon soweit klar. Aber schön, dass es jetzt hier nochmal so deutlich steht.

Sorry, wenn ich hier verschiedene Fragen vermischt habe.

Habe den Titel des Threads geändert.

Nein, wozu?

Du solltest beim Eintrag in die Datenbank so machen:
mysql_real_escape_string($eingabe);

Und bei der Ausgabe falls HTML unerwünscht ist z.B.:
addslashes() oder htmlentities()...

Gruß
icecream

Um htmlspecialchars() auf alle Elemente in $_POST anzuwenden.

Würde gerne wissen, ob ich z.B. anstatt
das ganze Array $_POST auf einmal mit mysql_real_escape_string bearbeiten kann?

Analog dazu das ganze Array mit htmlspecialchars()

addslashes ist Nonsense in so einem Falle.

Wenn du das für angebracht hältst, kannst du das.

(Ich halte es nicht für angebracht, weil man ja die POST-Daten evtl. noch für was anderes braucht, als nur für die Verwendung in einer MySQL-Query.)
Noch mal: HTML entschärfst du sinnvoller Weise, bevor du die Daten an den browser ausgibst.
Der Datenbank ist HTML vollkommen egal, für die ist das nur Text - also lasse diesen beim Abspeichern so, wie er ist (ausgenommen natürlich maskieren).

Das heisst du würdest es so machen?

Dabei müssten doch die $_POST Daten erhalten bleiben.

Entweder so - oder gleich die Funktion im Zusammenbau meines Query-Strings einsetzen.

THX für die Hilfe!

Bitte um Nachsicht, wenn meine Probleme nicht sehr anspruchsvoll sind. Bin zwar schon [COLOR=crimson]"Junior Member"[/COLOR] hier, aber nach wie vor ein ziemliches Greenhorn.