[HaBo]

frankred · 03.04.08, 13:26

Hallo,
arbeite aktuell gerade an einer Community. Da ist das Thema Sicherheit natürlich auch ein großes Thema.

Jetzt meine Frage reicht folgendes aus um MYSQL Injectionen zu verhidern.

$Text = $_POST["Text"];
$Text = htmlentities($Text, ENT_QUOTES);

$sql = "INSERT INTO usersGaestebuch(UserName, Text) VALUES ('$UserName', '$Text')";
$result = mysql_query($sql);

jetzt werden ja alle Sonderzeichen umcodiert? sollte doch reichen oder?

AceKiller73 · 03.04.08, 13:39

Woher kommt denn $ Username? Wird der auch mit htmlenties gefiltert?

MFG
Ace

Edit: Achja und es gibt während der gleichen Zeit ein anderes Thema dazu:
Absicherung vor xss und sqlinjections

HaBo Ads

frankred · 03.04.08, 13:42

nein der wird aus der Datenbank direkt geholt^^, da besteht also keine gefahr

EDIT: Stimmt du hast Recht sorry habe ich nicht gesehen

KANN DELETED WERDEN ;D

**Elderan** · 03.04.08, 14:20

Hallo,

Zitat:

nein der wird aus der Datenbank direkt geholt^^, da besteht also keine gefahr

Das ist nicht war. Was ist, wenn ich als Username einen Namen habe, der eine Injection durchführt?

Ansonsten ist htmlentities der falsche Weg, lieber mysql_real_escape_string verwenden.

frankred · 03.04.08, 14:40

beim usernamen sind keinerlei sonderzeichen erlaubt.
wieso ist htmlentities der falsche Weg?

habe jetzt schon in mehreren Quellen gelesen, wie auch hier Absicherung vor xss und sqlinjections

das das ausreichen würde und sicher ist?

vielleicht täusche ich mich auch, kannst du es vielleicht ein bisschne erklären.

Grüßle frank

**Elderan** · 03.04.08, 14:48

Hallo,
htmlentities() schützt vor XSS ist aber nicht für den Schutz vor SQL Injections gedacht.
htmlentities() dafür zu zweckenfremden ist sehr schön, zuerst einmal wird dann in der DB der HTML Code für Sonderzeichen u.ä. abgespeichert, was zu erheblichen Problemen später füren kann, und ob dies zuverlässig vor Injections schützt ist auch fraglich.

Merken:
Beim abspeichern mysql_real_escape_string verwenden, dann bei der Ausgabe htmlentities() auf $text anwenden, um vor XSS sicher zu sein.

frankred · 03.04.08, 14:50

okay, denk werd mir ne kleine hilfsfunktion schreiben dass ich das nicht jedesmal schreiben muss... danke

Empfehlung

03.04.08, 13:26	#1 (permalink)
frankred Registriert seit: 22.11.07 Likes: 0	MySQL Injectionen in PHP verhindern[reicht das?] Hallo, arbeite aktuell gerade an einer Community. Da ist das Thema Sicherheit natürlich auch ein großes Thema. Jetzt meine Frage reicht folgendes aus um MYSQL Injectionen zu verhidern. $Text = $_POST["Text"]; $Text = htmlentities($Text, ENT_QUOTES); $sql = "INSERT INTO usersGaestebuch(UserName, Text) VALUES ('$UserName', '$Text')"; $result = mysql_query($sql); jetzt werden ja alle Sonderzeichen umcodiert? sollte doch reichen oder?

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
PHP/MySql sql injection verhindern	Dawen	Code Kitchen	6	05.08.09 19:40
Reicht mein System für WoW	BigDevil	Games	16	18.02.08 10:51
Reicht meine windows firewall	tim20	Doppelte Beiträge	0	15.11.06 08:01
Reicht das Netzteil aus ?	Freakgarcia	Kaufberatung	10	26.03.06 16:10
Motherboardvergleich: Reicht lspci -vvv ?	2Bios	Linux/UNIX	0	01.03.06 21:36

03.04.08, 13:39	#2 (permalink)
AceKiller73 Registriert seit: 16.02.06 Likes: 0	Woher kommt denn $ Username? Wird der auch mit htmlenties gefiltert? MFG Ace Edit: Achja und es gibt während der gleichen Zeit ein anderes Thema dazu: Absicherung vor xss und sqlinjections

03.04.08, 13:42	#3 (permalink)
frankred Themenstarter Registriert seit: 22.11.07 Likes: 0	nein der wird aus der Datenbank direkt geholt^^, da besteht also keine gefahr EDIT: Stimmt du hast Recht sorry habe ich nicht gesehen KANN DELETED WERDEN ;D

03.04.08, 14:40	#5 (permalink)
frankred Themenstarter Registriert seit: 22.11.07 Likes: 0	beim usernamen sind keinerlei sonderzeichen erlaubt. wieso ist htmlentities der falsche Weg? habe jetzt schon in mehreren Quellen gelesen, wie auch hier Absicherung vor xss und sqlinjections das das ausreichen würde und sicher ist? vielleicht täusche ich mich auch, kannst du es vielleicht ein bisschne erklären. Grüßle frank

03.04.08, 14:48	#6 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, htmlentities() schützt vor XSS ist aber nicht für den Schutz vor SQL Injections gedacht. htmlentities() dafür zu zweckenfremden ist sehr schön, zuerst einmal wird dann in der DB der HTML Code für Sonderzeichen u.ä. abgespeichert, was zu erheblichen Problemen später füren kann, und ob dies zuverlässig vor Injections schützt ist auch fraglich. Merken: Beim abspeichern mysql_real_escape_string verwenden, dann bei der Ausgabe htmlentities() auf $text anwenden, um vor XSS sicher zu sein.

03.04.08, 14:50	#7 (permalink)
frankred Themenstarter Registriert seit: 22.11.07 Likes: 0	okay, denk werd mir ne kleine hilfsfunktion schreiben dass ich das nicht jedesmal schreiben muss... danke


HaBo Ads HaBOT

[HaBo]

MySQL Injectionen in PHP verhindern[reicht das?]