[lubux]

hallo, ich arbeite mich gerade in mySQL ein, weil muss ja auch mal.

frage:
wenn ich eine query per POST (oder noch schlimmer per GET) übergebe, kann die mir dann nicht irgendein angreifer wunderbar easy mit einem "TRUNCATE" oder gar "DROP" versüßen?

was tut man dagegen? oder ist das kein problem.

aktueller fall: ich möchte bei einem gästebuch unten eine aufzählung der verfügbaren seiten einbauen, wobei dann jedesmal die seite mit neuen werten für LIMIT aufgerufen werden muss.

dank. jan

[dastef]

nen ganzes query per get/post übergeben? wenn du schon so weit
bist, dann wirste da eh nicht mehr viel retten können .. ich würde
sagen, das einzige was de übergeben solltest ist eine zahl .. ent-
weder die seitezahl oder die start-datensatz zahl ..

bei allem anderen solltest halt mit den reservierten wörtern von
mysql und nem string-vergleich rangehen .. ob da evtl jemand was
verwendet hat

[lubux]

ja dacht ich auch an sowas. mein persönlicher admin hat mir gerade auch noch ein paar tipps gegeben.

[smile jamaica]

am besten du benutzt bei sql-query für jeden eingegebenen wert die mysql_real_escape_string() funktion. also INSERT INTO xyz (a, b, c) VALUES (mysql_real_escape_string($a), mysql_real_escape_string($b), mysql_real_escape_string($c)) ...

[rob]

und eventuell noch strip_tags() drauf anwenden, wenn es sich um daten handelt, die der user eingeben kann und die dann später auf einer html-seite angezeigt werden (z.b. gästebuch).
einige user finden es ja lustig, javascripte oder andere späße in gästebüchern zu posten.

du solltest also (je nachdem, was du machst) drauf achten, daß du nicht nur SQL, sondern auch HTML-Tags filterst.

[karmacoder]

am besten man benutz strings niemals aus externen quellen, immer nur eigene. z.b: