Dabei seit: 15.09.2005 Ort: - Alter: - Geschlecht: -
Verfasst Do 07.12.2006 17:07 Titel
[PHP] Sicher oder nicht sicher...
Ich habe eine PHP-Seite geschrieben und möchte jetzt mal etwas Sicherheit nachrüsten. Bin ich so vor Inject geschützt, obwohl ich die $_POST-Einträge direkt in die SQL-Abfragen eingebunden habe?
Dabei seit: 15.09.2005 Ort: - Alter: - Geschlecht: -
Verfasst Fr 08.12.2006 00:01 Titel
Danke für den Buchtipp! Werd ich mir mal anschauen...
1. Wenn ich Zahlen und % dichtmache, was kann mir dann noch in die Quere kommen? Oder reden wir hier etwa gerade über extrem viele Dinge...?
2. Mir ist gerade aufgefallen,dass ich nie Strings übermittle die Leerzeichen enthalten, was wäre z.B. wenn ich alle Leerzeichen entferne, ist da überhaupt noch ein Angriff möglich? Von % jetzt mal abgesehen...
Bitte separat beantworten.
Zuletzt bearbeitet von Nielow am Fr 08.12.2006 00:06, insgesamt 2-mal bearbeitet
Dabei seit: 22.03.2006 Ort: Wuppertal Alter: - Geschlecht:
Verfasst Fr 29.12.2006 18:15 Titel
Generell handle ich es immer so, dass ich nur Zahlen übergebe (cat=5&id= etc.
Das ist unübersichtlicher aber du hast folgenden Vorteil:
$cat = (int) $cat;
Somit kannst du Injects weiträumig ausschliessen. Dann benutzt du noch mysql_real_escape_string etc. und es ist schon um einiges schwerer dein System zu knacken.
Du kannst keine Beiträge in dieses Forum schreiben. Du kannst auf Beiträge in diesem Forum nicht antworten. Du kannst an Umfragen in diesem Forum nicht mitmachen.
Mediengestalter.info ist ein Projekt von Webformatik:: Forensoftware: phpBB