Injections vermeiden (Apostroph entfernen)

Einklappen
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
  • #1

    Injections vermeiden (Apostroph entfernen)

    Hallo,

    reicht es aus Injections zu vermeiden, wenn man den Apostroph ' sowie Backslash \ aus dem in die DB zu schreibenden Inhalt entfernt?
    Stichworte: -
  • #2
    Nein.
    hopka.net!

    Kommentar

    • #3
      Why not?

      Kommentar

      • #4
        Why not?
        Weil es dazu mysql_real_escape_string() gibt.
        Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

        [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
        Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

        Kommentar

        • #5
          Naja toll dann hab ich alle komischen Zeichen auch noch mit nem Backslash davor...

          Kommentar

          • #6
            Naja toll dann hab ich alle komischen Zeichen auch noch mit nem Backslash davor...
            ... was durchaus Sinn macht. Die Daten kommen doch sowieso ohne Slash wieder raus ...
            Die Regeln | rtfm | register_globals | strings | SQL-Injections | [COLOR=silver][[/COLOR][COLOR=royalblue]–[/COLOR][COLOR=silver]][/COLOR]

            Kommentar

            • #7
              Ja aber doch nur wenn man jede Ausgabe wieder mit strip_slashes() versieht...

              Kommentar

              • #8
                Quatsch, die Informationen werden bei sinnvoller Anwendung ohne Slashes in der Datenbank gespeichert (kann natürlich sein das du zusätzlich noch maqic_quotes eingeschaltet hast).
                Die Regeln | rtfm | register_globals | strings | SQL-Injections | [COLOR=silver][[/COLOR][COLOR=royalblue]–[/COLOR][COLOR=silver]][/COLOR]

                Kommentar

                • #9
                  Original geschrieben von tontechniker
                  Quatsch, die Informationen werden bei sinnvoller Anwendung ohne Slashes in der Datenbank gespeichert (kann natürlich sein das du zusätzlich noch maqic_quotes eingeschaltet hast).
                  Es wird also nur kurzfristig geschützt und dann normal in die DB eingetragen?

                  Kommentar

                  • #10
                    Es wird also nur kurzfristig geschützt und dann normal in die DB eingetragen?
                    Sagen wirs mal so: Der SQL Parser ignoriert die evtl. in den Strings vorhandenen Tokens. Wenn du etwas mit PHP ausgibst werden die Slashes ja auch nicht ausgegeben:
                    Code:
                    echo '\\ ';
                    Die Regeln | rtfm | register_globals | strings | SQL-Injections | [COLOR=silver][[/COLOR][COLOR=royalblue]–[/COLOR][COLOR=silver]][/COLOR]

                    Kommentar

                    Vorherige template Weiter
                    Lädt...
                    X