Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 19

Thema: [S] PHP/MYSQL Sicherheit TUT

  1. #1
    Großmeister(in) Avatar von Darkxor
    Registriert seit
    17.11.2007
    Ort
    NRW
    Beiträge
    663
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard [S] PHP/MYSQL Sicherheit TUT

    Hallo,
    ich suche eine Tutorial zum schnellen lernen, was man nicht machne
    sollte wobei nicht unbedingt darauf eingegangen werden muss
    dass man keine .inc Datein mit Passwörtern includen soll usw.
    Für sowas reicht das normale brain.exe nur was sollte man beachten
    um nicht Opfer von SQL Injections zu werden und was gibt es da noch
    für Angriffsmöglichkeiten außer dieser und BruteForce?

    Ein Buch habe ich hier aber ich möchte es lieber mit einem Tutorial
    lernen.

    Danke


    GELÖST:
    PHP und MySQL Sicherheit
    Achtung: Dies ist ein alter Thread im HTML und Webmaster Forum
    Diese Diskussion ist älter als 90 Tage. Die darin enthaltenen Informationen sind möglicherweise nicht mehr aktuell. Erstelle bitte zu deiner Frage ein neues Thema im Forum !!!!!
    Geändert von Darkxor (26.01.2009 um 20:05 Uhr)

  2. #2
    Azubi(ne)
    Registriert seit
    30.10.2008
    Beiträge
    81
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard AW: [S] PHP/MYSQL Sicherheit TUT

    wir können ja alle mal unsere üblichen maßnahmen posten, um uns vor SQL Injections zu schützen... da lernt man sicher immernoch neue sachen dazu

    also,
    ich haue eigentlich alles was mir einfällt rein um jede vom user veränderbare variable zu überprüfen:

    id's verwandele ich grundsätzlich zu integern:
    PHP-Code:
    $id = (int) $_GET['id']; 
    andere zahlen prüfe ich mit funktionen wie:
    is_numeric()
    ctype_digit()

    für namen, adressen, texte benutze ich diese funktionen:
    htmlspecialchars()
    htmlentities()
    ctype_alnum()

    bestimmte variablen schneide ich zur sicherheit auch ab mit:
    strlen()

    sachen mit schema wie z.B. email adressen werden zusätzlich noch mit einem regulären ausdruck via preg_match() überprüft

    und grundsätzlich alles, was der user nur in irgendeiner weise verändern kann wird nur mit mysql_escape_string() in die datenbank gepackt...

    mehr fällt mir gerade nicht ein
    Geändert von pApAnoAh (26.01.2009 um 12:44 Uhr)
    Der frühe Vogel fängt den Wurm,
    aber die zweite Maus bekommt den Käse.

  3. #3
    Meister(in)
    Registriert seit
    05.03.2006
    Alter
    29
    Beiträge
    432
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard AW: [S] PHP/MYSQL Sicherheit TUT

    Zitat Zitat von papanoah Beitrag anzeigen
    und grundsätzlich alles, was der user nur in irgendeiner weise verändern kann wird nur mit mysql_escape_string() in die datenbank gepackt...
    Zitat Zitat von php.net
    hinweis: Diese funktion ist seit php 4.3.0 veraltet. Benutzen sie diese funktion nicht und verwenden sie stattdessen mysql_real_escape_string()
    Ich mache mir hierfür immer ne Alias Funktion mit kürzerem Namen:
    PHP-Code:
    function escapeForQuery($string) {
     return 
    mysql_real_escape_string($string)

    Außerdem kann man dann an an dieser Stelle den String der in die DB kommt weiter vorbereiten, im Bezug auf Charset oder sowas z.B..

    Und ansonsten fällt mir in sachen SQL-Injections auch nichts mehr ein.

  4. #4
    Bandit
    Gast

    Standard AW: [S] PHP/MYSQL Sicherheit TUT

    Zitat Zitat von FaFoo Beitrag anzeigen
    Ich mache mir hierfür immer ne Alias Funktion mit kürzerem Namen:
    Um 10 Zeichen Tipparbeit zu sparen eine eigene Funktion? Ob das Sinn der Sache ist?

  5. #5
    Meister(in)
    Registriert seit
    05.03.2006
    Alter
    29
    Beiträge
    432
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard AW: [S] PHP/MYSQL Sicherheit TUT

    Zitat Zitat von FaFoo Beitrag anzeigen
    Außerdem kann man dann an an dieser Stelle den String der in die DB kommt weiter vorbereiten, im Bezug auf Charset oder sowas z.B..
    Nenn sie meinetwegen prepareForQuery()...

  6. #6
    Großmeister(in)
    Themenstarter
    Avatar von Darkxor
    Registriert seit
    17.11.2007
    Ort
    NRW
    Beiträge
    663
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard AW: [S] PHP/MYSQL Sicherheit TUT

    Zusammenfassung:
    PHP und MySQL Sicherheit
    Geändert von Darkxor (26.01.2009 um 20:05 Uhr)

  7. #7
    Großmeister(in)
    Themenstarter
    Avatar von Darkxor
    Registriert seit
    17.11.2007
    Ort
    NRW
    Beiträge
    663
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard AW: [S] PHP/MYSQL Sicherheit TUT

    Hallo,
    wenn ich das nun escapen will, wie funktioniert das denn dann?

    PHP-Code:
    <?
    include 'dbconnect';
    $sql ="INSERT INTO
        teilnehmer(vorname, nachname, email, link)
    VALUES
        ('
    $vorname',
         '
    $nachname',
         '
    $email',
         '
    $link');";
    mysql_real_escape_string($sql);
    $eintragen mysql_query($sql);
    ?>
    So wahrscheinlich nicht oder?

  8. #8
    Bandit
    Gast

    Standard AW: [S] PHP/MYSQL Sicherheit TUT

    PHP-Code:
    $sql "INSERT 
             INTO
               teilnehmer
             set 
               `vorname`  = '" 
    mysql_real_escape_string($name)     . "', 
               `nachname` = '" 
    mysql_real_escape_string($nachname) . "', 
               `email`    = '" 
    mysql_real_escape_string($email)    . "', 
               `link`     = '" 
    mysql_real_escape_string($link)     . "'"

  9. #9
    Großmeister(in)
    Themenstarter
    Avatar von Darkxor
    Registriert seit
    17.11.2007
    Ort
    NRW
    Beiträge
    663
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard AW: [S] PHP/MYSQL Sicherheit TUT

    Hallo,
    danke für die mal wieder mega schnelle Antwort
    Wo liegt denn der Unterschied zwischen VALUES und set?
    Danke

    Edit:
    PHP-Code:
    $sql "INSERT 
             INTO
               teilnehmer
             set 
               `vorname`  = '" 
    mysql_real_escape_string($vorname)     . "', 
               `nachname` = '" 
    mysql_real_escape_string($nachname) . "', 
               `email`    = '" 
    mysql_real_escape_string($email)    . "', 
               `link`     = '" 
    mysql_real_escape_string($link)     . "'"
    So wird nichts eingetragen.
    Geändert von Darkxor (31.01.2009 um 00:56 Uhr)

  10. #10
    Bandit
    Gast

    Standard AW: [S] PHP/MYSQL Sicherheit TUT

    Der Unterschied liegt nur in der Schreibweise, ich finde set besser lesbar. Schreibe mal
    PHP-Code:
    $eintragen mysql_query($sql) or die ("MySQL-Error: " mysql_error()); 

Ähnliche Themen

  1. Sicherheit vor SQL Injections?
    Von pattiheonly im Forum PHP Forum - Apache - CGI - Perl - JavaScript und Co.
    Antworten: 5
    Letzter Beitrag: 24.09.2007, 13:48
  2. sicherheit
    Von tepilta im Forum Off Topic und Quasselbox
    Antworten: 6
    Letzter Beitrag: 13.06.2006, 14:13
  3. Php Zähler - Zur Sicherheit
    Von Adlerr2000 im Forum PHP Forum - Apache - CGI - Perl - JavaScript und Co.
    Antworten: 12
    Letzter Beitrag: 15.05.2006, 17:55
  4. php sicherheit
    Von pindakaas im Forum Tutorials, Workshops und Anleitungen
    Antworten: 2
    Letzter Beitrag: 02.03.2006, 17:28
  5. sicherheit bei includes
    Von BendOr im Forum Tutorials, Workshops und Anleitungen
    Antworten: 0
    Letzter Beitrag: 14.01.2006, 18:57

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •