[HaBo]

Dawen · 05.08.09, 12:02

Hallo !

Ich habe eine kleine Frage.

In einer PHP Datei kommt folgendes

Code:

$user = $_POST['nickname'];
// db verbindung aufbauen
$sql = "INSERT INTO tab_user(nick) values(".$user.")";
mysql_query($sql);

Wir könnte man verhindern, dasss hier kein sql injection stattfindet ?

05.08.09, 12:42

Crossposting^^
interessanter Link (PHP "Sicherheit")(einfach dem im ersten Post angegeben Punkt folgen und zu mysql-injection springen)

falls die Werte bekannt sind kannst du auch, das HTML-Formular mittels PHP dynamisch erstellen und
per select-Tags die Optionen zur auswahl anbieten.

Anzeige

- Anzeige -

t3rr0r.bYt3 · 05.08.09, 14:39

Stichwort "Prepared Statements". Auf keinen Fall eine Query als String-Konkatenation zusammenbauen (wenn der User *irgendwie* Einfluss auf mindestens ein Element der Query haben kann).

GregorSamsa · 05.08.09, 17:04

Ganz ehrlich, wie viele Leute benutzen prepared statements?

Mit intval() für Zahlen und mysql_real_escape_string() für Strings bist du schon gut dabei.

Ich empfehle dir nur kein addslashes, da addslashes unter Umständen umgangen werden kann...

05.08.09, 17:41

Zitat:

Original von GregorSamsa
Ganz ehrlich, wie viele Leute benutzen prepared statements?

Kein Grund, nicht darauf hinzuweisen. PHP5 bietet mit PDO hierzu die benötigten Funktionen sogar "von Haus aus" an. Siehe dazu auch http://de.php.net/manual/de/pdo.prepared-statements.php

t3rr0r.bYt3 · 05.08.09, 19:24

Zitat:

Ganz ehrlich, wie viele Leute benutzen prepared statements?

Äh, ja, und?

Nur weil die meisten keine Ahnung haben, heißt das nicht, dass man mal etwas richtig machen darf? Escaping ist da nur ein sehr unsauberer Workaround (und zudem escaped mysql_real_escape_string() keine "_" und "%", die man z.b. in LIKE-Ausdrücken verwenden kann).

05.08.09, 19:40

Vielen dank fuer den Hinweis mit den Prepared Statements , kannte ich noch nicht.
mfg

sw33t

Anzeige

- Anzeige -

05.08.09, 12:02	#1 (permalink)
Dawen Registriert seit: 19.08.04 Likes: 1	PHP/MySql sql injection verhindern Anzeige Hallo ! Ich habe eine kleine Frage. In einer PHP Datei kommt folgendes Code: $user = $_POST['nickname']; // db verbindung aufbauen $sql = "INSERT INTO tab_user(nick) values(".$user.")"; mysql_query($sql); Wir könnte man verhindern, dasss hier kein sql injection stattfindet ?

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
MySQL Injectionen in PHP verhindern[reicht das?]	frankred	(In)security allgemein	6	03.04.08 14:50
MySQL-Injection und weiter?	kuzdu	(In)security allgemein	2	26.07.07 17:38
MySQL injection	Globestern	(In)security allgemein	1	21.02.06 12:30
mySQL injection	_fux_	(In)security allgemein	5	12.10.05 17:05
MySQL-Injection	Elderan	(In)security allgemein	1	05.10.04 19:55

05.08.09, 12:42	#2 (permalink)
sw33tlull4by Guest Likes:	Crossposting^^ interessanter Link (PHP "Sicherheit")(einfach dem im ersten Post angegeben Punkt folgen und zu mysql-injection springen) falls die Werte bekannt sind kannst du auch, das HTML-Formular mittels PHP dynamisch erstellen und per select-Tags die Optionen zur auswahl anbieten.

05.08.09, 14:39	#3 (permalink)
t3rr0r.bYt3 Senior Member Registriert seit: 07.01.03 Likes: 19	Stichwort "Prepared Statements". Auf keinen Fall eine Query als String-Konkatenation zusammenbauen (wenn der User irgendwie Einfluss auf mindestens ein Element der Query haben kann).

05.08.09, 17:04	#4 (permalink)
GregorSamsa Registriert seit: 19.07.09 Likes: 0	Ganz ehrlich, wie viele Leute benutzen prepared statements? Mit intval() für Zahlen und mysql_real_escape_string() für Strings bist du schon gut dabei. Ich empfehle dir nur kein addslashes, da addslashes unter Umständen umgangen werden kann...

05.08.09, 19:40	#7 (permalink)
sw33tlull4by Guest Likes:	Vielen dank fuer den Hinweis mit den Prepared Statements , kannte ich noch nicht. mfg sw33t

[HaBo]

PHP/MySql sql injection verhindern