mediengestalter.info
FAQ :: Mitgliederliste :: MGi Team

Willkommen auf dem Portal für Mediengestalter

Aktuelles Datum und Uhrzeit: So 04.12.2016 21:26 Benutzername: Passwort: Auto-Login

Thema: [PHP] Sicher oder nicht sicher... vom 07.12.2006


Neues Thema eröffnen   Neue Antwort erstellen MGi Foren-Übersicht -> Programmierung -> [PHP] Sicher oder nicht sicher...
Autor Nachricht
Nielow
Threadersteller

Dabei seit: 15.09.2005
Ort: -
Alter: -
Geschlecht: -
Verfasst Do 07.12.2006 16:07
Titel

[PHP] Sicher oder nicht sicher...

Antworten mit Zitat Zum Seitenanfang

Ich habe eine PHP-Seite geschrieben und möchte jetzt mal etwas Sicherheit nachrüsten. Bin ich so vor Inject geschützt, obwohl ich die $_POST-Einträge direkt in die SQL-Abfragen eingebunden habe?

Code:

//Security
while(list($key, $val) = each($_POST))
{

    $_POST[$key]=mysql_escape_string($val);
}


Danke für alle Antworten...
  View user's profile Private Nachricht senden
schachbrett

Dabei seit: 11.10.2006
Ort: Köln
Alter: -
Geschlecht: Männlich
Verfasst Do 07.12.2006 16:43
Titel

Antworten mit Zitat Zum Seitenanfang

Was ist zB mit % und mit Zahlen???

SELECT * FROM user WHERE id=1 or id=2;
SELECT * FROM user WHERE password like "%";
  View user's profile Private Nachricht senden
Anzeige
Anzeige
tacker

Dabei seit: 22.03.2002
Ort: Offenbach am Main
Alter: 36
Geschlecht: Männlich
Verfasst Do 07.12.2006 19:20
Titel

Antworten mit Zitat Zum Seitenanfang

Ich empfehle dir dieses Buch:




Hier werden alle Themen rund um PHP Sicherheit ausführlich und leicht zu verstehend behandelt.
  View user's profile Private Nachricht senden Website dieses Benutzers besuchen
Nielow
Threadersteller

Dabei seit: 15.09.2005
Ort: -
Alter: -
Geschlecht: -
Verfasst Do 07.12.2006 23:01
Titel

Antworten mit Zitat Zum Seitenanfang

Danke für den Buchtipp! Werd ich mir mal anschauen...

1. Wenn ich Zahlen und % dichtmache, was kann mir dann noch in die Quere kommen? Oder reden wir hier etwa gerade über extrem viele Dinge...?



2. Mir ist gerade aufgefallen,dass ich nie Strings übermittle die Leerzeichen enthalten, was wäre z.B. wenn ich alle Leerzeichen entferne, ist da überhaupt noch ein Angriff möglich? Von % jetzt mal abgesehen...


Bitte separat beantworten.


Zuletzt bearbeitet von Nielow am Do 07.12.2006 23:06, insgesamt 2-mal bearbeitet
  View user's profile Private Nachricht senden
soulsaver

Dabei seit: 22.03.2006
Ort: Wuppertal
Alter: -
Geschlecht: Männlich
Verfasst Fr 29.12.2006 17:15
Titel

Antworten mit Zitat Zum Seitenanfang

Generell handle ich es immer so, dass ich nur Zahlen übergebe (cat=5&id=*hehe* etc.
Das ist unübersichtlicher aber du hast folgenden Vorteil:

$cat = (int) $cat;

Somit kannst du Injects weiträumig ausschliessen. Dann benutzt du noch mysql_real_escape_string etc. und es ist schon um einiges schwerer dein System zu knacken.
  View user's profile Private Nachricht senden
 
Ähnliche Themen Wie sicher ist PHP ??
Kontaktformular sicher?
Wie sicher sind txt-Dateien?!
SQL-Injektion | Login sicher ?
erste website (sorry habt ihr sicher schon 1000 mal gesehen)
[PHP] Was will mir PHP damit sagen?? Hilfe Bitte! Wichtig!
Neues Thema eröffnen   Neue Antwort erstellen
MGi Foren-Übersicht -> Programmierung


Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst an Umfragen in diesem Forum nicht mitmachen.