mediengestalter.info
FAQ :: Mitgliederliste :: MGi Team

Willkommen auf dem Portal für Mediengestalter

Aktuelles Datum und Uhrzeit: Fr 29.03.2024 15:44 Benutzername: Passwort: Auto-Login

Thema: Apostroph in php/MySQL vom 14.09.2004


Neues Thema eröffnen   Neue Antwort erstellen MGi Foren-Übersicht -> Programmierung -> Apostroph in php/MySQL
Seite: 1, 2  Weiter
Autor Nachricht
slein
Threadersteller

Dabei seit: 02.10.2002
Ort: -
Alter: 42
Geschlecht: Männlich
Verfasst Di 14.09.2004 17:52
Titel

Apostroph in php/MySQL

Antworten mit Zitat Zum Seitenanfang

Hey Leutz,
hab ein Eingabefeld für Text, den ich in einer MySQL-Tabelle speicher.

WENN allerdings der Text ein Apostroph, also solch ein Zeichen ---> ' enthält, schreibt er den Text NICHT rein *Schnief*

Die MySQL Zelle ist vom Typ her ein "MEDIUMTEXT" -liegt es vielleicht daran?

Hiiiilllfffeeeee !

Danke!

der die das sleiN
  View user's profile Private Nachricht senden
13pixelchen
Account gelöscht


Ort: -

Verfasst Di 14.09.2004 18:11
Titel

Antworten mit Zitat Zum Seitenanfang

Du hast eine SQL Injection Sicherheitslücke gemacht. Versuchs mit html_entities und mysql_escape_string oder so ähnlich.
 
Anzeige
Anzeige
donnerchen

Dabei seit: 06.04.2003
Ort: -
Alter: 53
Geschlecht: Männlich
Verfasst Di 14.09.2004 19:15
Titel

Antworten mit Zitat Zum Seitenanfang

Wenn Du einen Text insertest, dann werden die Textblöcke von einfachen Anführungszeichen eingeschlossen, also z.B.

INSERT INTO tabelle VALUES ('Paul','Maier');

Würde der Text nun ein einfaches Anführungszeichen enthalten kommt MySQL natürlich durcheinander. Also, Du kannst das Apostroph entweder mit einem Backslash entwerten oder Du nimmst - wenn das ganze denn in eine Webseite soll - ein '. Kannst Du halt auch automatisch von html_entities() oder html_special_chars() machen lassen Lächel

*wink*
Carsten
  View user's profile Private Nachricht senden Website dieses Benutzers besuchen
rob

Dabei seit: 11.12.2003
Ort: ~/
Alter: 46
Geschlecht: Männlich
Verfasst Do 16.09.2004 10:11
Titel

Antworten mit Zitat Zum Seitenanfang

ich würde in jedem fall mysql_escape_string() auf _alle_ usereingaben anwenden, die du weiterverarbeiten willst. 13pix hat es ja bereits gesagt, ansonsten besteht die gefahr einer möglichen sql-injection.

und ansonsten würde ich wohl mit addslashes() (und später stripslashes) arbeiten. dadurch werden single- und double-quotes, backslahes und NUL escaped.
  View user's profile Private Nachricht senden
Account gelöscht


Ort: -
Alter: -
Verfasst So 25.03.2007 17:19
Titel

Antworten mit Zitat Zum Seitenanfang

ich würde mich mal in diesem Thema schlau machen:

SQL Injection - das ist eine böse Sicherheitslücke

Gruß Ewido
 
m
Moderator

Dabei seit: 18.11.2004
Ort: -
Alter: -
Geschlecht: Männlich
Verfasst So 25.03.2007 19:08
Titel

Antworten mit Zitat Zum Seitenanfang

Code:
Verfasst Di 14.09.2004 18:52


Wieso schaffen das einige doch immer wieder solche Thread Leichen
auszugraben?
  View user's profile Private Nachricht senden Website dieses Benutzers besuchen
rob

Dabei seit: 11.12.2003
Ort: ~/
Alter: 46
Geschlecht: Männlich
Verfasst So 25.03.2007 20:40
Titel

SQL-Injection - Sicherheit in der Programmierung

Antworten mit Zitat Zum Seitenanfang

Zitat:
Wieso schaffen das einige doch immer wieder solche Thread Leichen auszugraben?

Vergib ihm, denn es ist sein zweites Posting. Lächel

Aber machen wir doch noch mal was Sinnvolles aus diesem Thread...


Thema SQL-Injection in der deutschen Wikipedia:
http://de.wikipedia.org/wiki/SQL_Injection

PHP-Handbuch zum Thema SQL-Injection:
http://www.php-center.de/de-html-manual/security.database.sql-injection.html

Artikel "Was ist SQL-Injection? - Schwachstellen erkennen und beheben":
http://www.acunetix.de/websitesecurity/sql-injection.htm

Online-Tutorial - SQL-Injection:
# Einführung
# Angriffsmöglichkeiten von SQL-Injections
# Scenarien
# Gegenmaßnahmen
# Abfrageklasse
# mod_security
# Weblinks
http://www.online-tutorials.net/security/sql-injection/tutorials-t-93-218.html



und zwei Artikel, die sich nicht auf PHP beziehen, sondern auf ASP. Aber das Prinzip des Angriffes bleibt ja gleich...

Artikel "SQL-Injection" von Christoph Wille:
http://www.aspheute.com/artikel/20011030.htm

und ebenfalls von Christoph Wille, der Artikel "Gegengifte für SQL Injection":
http://www.aspheute.com/artikel/20011031.htm
  View user's profile Private Nachricht senden
magicslider

Dabei seit: 04.02.2007
Ort: WW
Alter: -
Geschlecht: Männlich
Verfasst Di 27.03.2007 20:22
Titel

Antworten mit Zitat Zum Seitenanfang

hi,

klar geht das:
Code:

<?php
$item = "Zak's Laptop";
$escaped_item = mysql_escape_string($item);
echo stripslashes($escaped_item);
?>
  View user's profile Private Nachricht senden
 
Ähnliche Themen [PHP + mySQL] Kann Fehler in einer mySQL-Phrase nicht finden
[PHP/MySQL] MySQL Error: 1054, falsche Tabelle ausgewählt?
[MySql]Lost connection to MySQL server during query
[php / mysql] Mysql Daten in php als Link ausgeben
(php-mysql) übergabe von formulardaten und abfrage m. mysql
BLOB in mysql per php oder mysql einfügen
Neues Thema eröffnen   Neue Antwort erstellen Seite: 1, 2  Weiter
MGi Foren-Übersicht -> Programmierung


Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst an Umfragen in diesem Forum nicht mitmachen.