Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 12

Thema: Wie schütze ich mich vor SQL-Injection?

  1. #1
    Azubi(ne)
    Registriert seit
    09.06.2008
    Ort
    Lambrecht (Pfalz)
    Beiträge
    90
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard Wie schütze ich mich vor SQL-Injection?

    Hallo,

    ich wollte mich erkundigen wie ich meinen Datenbanken vor SQL-Injection sichern kann. Ich bin ein richtiger Anfänger was SQL angeht deshalb wäre es nett wenn es jemand sehr "einfach" erklären, oder mir ein Link dazu geben könnt. Ich betreibe ein Browsergame und habe dort eine Hackdrohung bekommen.

    Bitte um Hilfe!!!

    Red[/quote]
    Achtung: Dies ist ein alter Thread im HTML und Webmaster Forum
    Diese Diskussion ist älter als 90 Tage. Die darin enthaltenen Informationen sind möglicherweise nicht mehr aktuell. Erstelle bitte zu deiner Frage ein neues Thema im Forum !!!!!

  2. #2
    Kaiserliche Hoheit Avatar von No0ob
    Registriert seit
    02.01.2006
    Ort
    Nähe Frankfurt
    Beiträge
    1.500
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard

    Variablen bei SQl_Verwendung grundsätzlich escapen und sich nie auf User-Eingaben verlassen.
    Grundprinzip: All Input Is Evil

  3. #3
    Jedi Ritter Avatar von Dodo
    Registriert seit
    26.04.2008
    Ort
    Wien
    Alter
    27
    Beiträge
    3.774
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings
    Blog-Einträge
    1

    Standard

    Wie NoOob schon gesagt hat: All Input is Evil

    zuerst überprüfen ob variablen auch gewünschte werte enthalten

    also wenn man eine zahl eingeben muss und es kommt, ein text ist es schon mal falsch

    ausser dem noch die funktion: mysql_real_escape_string()

    --------------------------------------------------------------------------

    Also wie am Flughafen, alles wird gründlich durchsucht
    Wenn was nicht passt, sofort elimieren
    Something big is coming. And there will be pirates and ninjas and unicorns...

  4. #4
    Azubi(ne)
    Themenstarter

    Registriert seit
    09.06.2008
    Ort
    Lambrecht (Pfalz)
    Beiträge
    90
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard

    mysql_real_escape_string() , könntest das etwas genauer beschreiben? Wäre klasse. Muss ich da was in der Login.php ändern? Wenn ja was? Oder lieg ich wie immer falsch?

    Red

  5. #5
    Bandit
    Gast

    Standard

    Doku kaputt? Ich schenke dir 'ne neue: mysql_real_escape_string

  6. #6
    Azubi(ne)
    Themenstarter

    Registriert seit
    09.06.2008
    Ort
    Lambrecht (Pfalz)
    Beiträge
    90
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard

    Hehe wie oft soll ich das noch lesen xP

    Da steht nur Zeug drinne was ein Anfänger in diesem Gebiet nich so richtig vertshet (z.B. ICH^^)

    Gibts da keine leichtere Anleitung?

  7. #7
    Bandit
    Gast

    Standard

    Wenn du die doku bei so einfachen funktionen schon nicht verstehst, ist dann programmieren das richtige hobby für dich? Man könnte ja auch einfach mal etwas experimentieren oder eines der zahlreichen tutorials lesen.

    $string = mysql_real_escape_string($_POST['name_vom_formularfeld']);

  8. #8
    Azubi(ne)
    Themenstarter

    Registriert seit
    09.06.2008
    Ort
    Lambrecht (Pfalz)
    Beiträge
    90
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard

    Da hat erst

    Code:
    mysql_escape_string($_POST['username'])
    gestanden und ich habe es durch

    Code:
    mysql_real_escape_string($_POST['username'])
    das ersetzt, wie es in wikipedia steht.

    Stimmt das? bzw. reicht das schon?

  9. #9
    Jedi Ritter Avatar von Dodo
    Registriert seit
    26.04.2008
    Ort
    Wien
    Alter
    27
    Beiträge
    3.774
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings
    Blog-Einträge
    1

    Standard

    ich hab dir in meinem 1. post noch geschrieben, was was wichtigste ist
    aber das hast du anscheinend überlesen
    Something big is coming. And there will be pirates and ninjas and unicorns...

  10. #10
    Forum Guru
    Registriert seit
    04.04.2005
    Beiträge
    4.139
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard

    Prepared statements sind dafür super geeignet. Schau dir mal PDO an.

    Numerische Werte kannst du als intetgr casten.

    Beispiel
    Code:
    mysql_query('SELECT * FROM `xxx` WHERE `ID`="'.(int)$_GET['id'].'" LIMIT 1');
    Und wie oben schon erwähnt mysql_real_escape_string();
    Facebook Gruppe: Böses Encoding

Ähnliche Themen

  1. Sql-Injection bei include ?
    Von DaRealAndy im Forum PHP Forum - Apache - CGI - Perl - JavaScript und Co.
    Antworten: 20
    Letzter Beitrag: 28.07.2008, 17:45
  2. Wie schütze ich mein Browsergame vor Hacker?
    Von RedFighter im Forum HTML & CSS Forum
    Antworten: 4
    Letzter Beitrag: 10.06.2008, 15:18

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •