mediengestalter.info
Datenschutzerklärung
FAQ :: Mitgliederliste :: MGi Team

Willkommen auf dem Portal für Mediengestalter
Aktuelles Datum und Uhrzeit: Sa 27.04.2024 03:20 Benutzername: Passwort: Auto-Login

Thema: [PHP] Sicher oder nicht sicher... vom 07.12.2006


Neues Thema eröffnen   Neue Antwort erstellen MGi Foren-Übersicht -> Programmierung -> [PHP] Sicher oder nicht sicher...
Autor Nachricht
Nielow
Threadersteller

Dabei seit: 15.09.2005
Ort: -
Alter: -
Geschlecht: -
Verfasst Do 07.12.2006 17:07
Titel

[PHP] Sicher oder nicht sicher...

 Antworten mit Zitat Zum Seitenanfang
Ich habe eine PHP-Seite geschrieben und möchte jetzt mal etwas Sicherheit nachrüsten. Bin ich so vor Inject geschützt, obwohl ich die $_POST-Einträge direkt in die SQL-Abfragen eingebunden habe?

Code:

//Security
while(list($key, $val) = each($_POST))
{

    $_POST[$key]=mysql_escape_string($val);
}


Danke für alle Antworten...
  View user's profile Private Nachricht senden
schachbrett

Dabei seit: 11.10.2006
Ort: Köln
Alter: -
Geschlecht: Männlich
Verfasst Do 07.12.2006 17:43
Titel

Antworten mit Zitat Zum Seitenanfang
Was ist zB mit % und mit Zahlen???

SELECT * FROM user WHERE id=1 or id=2;
SELECT * FROM user WHERE password like "%";
  View user's profile Private Nachricht senden
Anzeige
Anzeige
tacker

Dabei seit: 22.03.2002
Ort: Trondheim, Norwegen
Alter: 43
Geschlecht: Männlich
Verfasst Do 07.12.2006 20:20
Titel

Antworten mit Zitat Zum Seitenanfang
Ich empfehle dir dieses Buch:




Hier werden alle Themen rund um PHP Sicherheit ausführlich und leicht zu verstehend behandelt.
  View user's profile Private Nachricht senden Website dieses Benutzers besuchen
Nielow
Threadersteller

Dabei seit: 15.09.2005
Ort: -
Alter: -
Geschlecht: -
Verfasst Fr 08.12.2006 00:01
Titel

Antworten mit Zitat Zum Seitenanfang
Danke für den Buchtipp! Werd ich mir mal anschauen...

1. Wenn ich Zahlen und % dichtmache, was kann mir dann noch in die Quere kommen? Oder reden wir hier etwa gerade über extrem viele Dinge...?



2. Mir ist gerade aufgefallen,dass ich nie Strings übermittle die Leerzeichen enthalten, was wäre z.B. wenn ich alle Leerzeichen entferne, ist da überhaupt noch ein Angriff möglich? Von % jetzt mal abgesehen...


Bitte separat beantworten.

Zuletzt bearbeitet von Nielow am Fr 08.12.2006 00:06, insgesamt 2-mal bearbeitet
  View user's profile Private Nachricht senden
soulsaver

Dabei seit: 22.03.2006
Ort: Wuppertal
Alter: -
Geschlecht: Männlich
Verfasst Fr 29.12.2006 18:15
Titel

Antworten mit Zitat Zum Seitenanfang
Generell handle ich es immer so, dass ich nur Zahlen übergebe (cat=5&id=*hehe* etc.
Das ist unübersichtlicher aber du hast folgenden Vorteil:

$cat = (int) $cat;

Somit kannst du Injects weiträumig ausschliessen. Dann benutzt du noch mysql_real_escape_string etc. und es ist schon um einiges schwerer dein System zu knacken.
  View user's profile Private Nachricht senden
 
Ähnliche Themen Wie sicher ist PHP ??
Kontaktformular sicher?
Wie sicher sind txt-Dateien?!
SQL-Injektion | Login sicher ?
CSS: Handy sicher erkennen (media query)
erste website (sorry habt ihr sicher schon 1000 mal gesehen)
Neues Thema eröffnen   Neue Antwort erstellen
MGi Foren-Übersicht -> Programmierung


Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst an Umfragen in diesem Forum nicht mitmachen.

Mediengestalter.info ist ein Projekt von Webformatik :: Forensoftware: phpBB