[HaBo]
| Webmaster-Security Fragen zur richtigen Serverkonfiguration oder Absicherung dynamischer Scripte gehören hier hinein. |
Absicherung vor xss und sqlinjections
Diskussion: Absicherung vor xss und sqlinjections im Forum Webmaster-Security, in der Kategorie Security Area; Anzeige Heyho sagtmal, ich bin seit einiger zeit am probieren selbst auf meiner seite sql code bzw. hier und da ...
 |
01.04.08, 23:52
| #1 (permalink) |
| Member of Honour   Registriert seit: 14.09.07   Likes: 62 |  Absicherung vor xss und sqlinjections Anzeige Heyho sagtmal, ich bin seit einiger zeit am probieren selbst auf meiner seite sql code bzw. hier und da xss einzubauen! bisd ato ist es mir selbst nicht gelungen. zum filtern von strings nutz ich ein einfaches PHP-Code: PHP-Code: oder gibts da trotzdem noch mittel und wege was an den beiden sachen vorbei zu schieben?
__________________ » Flattr mich! - Wenn dir mein Beitrag geholfen hat! « <| 2 AMD Opterons 2384@ 8x3,2ghz | Tyan S2915 | 10GB | 2x 8800GT | 8400GS | Dell 3008WFP + 2x2007FP |> |
|  |
| HaBOT | - Anzeige - |
|
|
02.04.08, 01:56
| #3 (permalink) |
| Registriert seit: 24.02.08  Likes: 0 | php.net/addslashes (weiss jetzt nicht ob sich das mit einer schon genannten Funktion beisst bzw. nicht das irgw. doppelt escaped wird) htmlentities($string, ENT_QUOTES, 'UTF-8') - Bevorzuge ich immer, da es alle (öäü etc.) HTML-Spezifischen und nicht doppelten Zeichen umsetzt. Mhh... sonst muss ich passen. |
|
| |
|
02.04.08, 14:01
| #4 (permalink) |
| Moderator   Registriert seit: 30.03.04 Likes: 14 | Hallo, wenn du htmlspecialchars konsequent umsetzt, bist du vor XSS sicher. Das Problem ist nur das konsequente Umsetzen  Ansonsten haben die beiden Sachen eher weniger mit SQL Injection zu tun, wobei es schon ratsam ist, wenn man eine Zahl erwartet man auch nur zahlen zulässt |
|
| |
|
02.04.08, 16:46
| #5 (permalink) |
| Member of Honour Registriert seit: 14.09.07 Likes: 62 | konsequent wird das durchgezogen sämmtliche ids/nummern kommen ja nur via intval rein! aber wichtiger als das xss ist mir halt noch die tauglichkeit, text der via PHP-Code:
__________________ » Flattr mich! - Wenn dir mein Beitrag geholfen hat! « <| 2 AMD Opterons 2384@ 8x3,2ghz | Tyan S2915 | 10GB | 2x 8800GT | 8400GS | Dell 3008WFP + 2x2007FP |> |
|
| |
|
02.04.08, 17:52
| #6 (permalink) |
| Senior Member  Registriert seit: 10.03.07 Likes: 19 | $string einfach mit mysql_real_escape_string maskieren lassen und schon sollte es keine probleme mehr mit sql-injections geben. |
|
| |
|
02.04.08, 18:46
| #7 (permalink) |
| Moderator Registriert seit: 30.03.04 Likes: 14 | Hallo, @lookshe: Dazu muss man aber vorher überprüfen, ob magic_quotes_gpc auf on oder off steht. Wenn es auf on steht, muss man zuerst auf $_POST, $_GET etc. überall stripslashes anwenden, sonst wird es doppelt maskiert (wenn man mysql_real_escape_string ) verwendet. @easteregg: Bevor du überall mysql_real_escape_string einbaust, erst gründlich über magic_quotes_gpc informieren und welche Komplikationen dadurch entstehen |
|
| |
|
02.04.08, 18:50
| #8 (permalink) |
| Member of Honour Registriert seit: 14.09.07 Likes: 62 | okay, danke für die tipps. da werd ich mir das mal durcharbeiten!
__________________ » Flattr mich! - Wenn dir mein Beitrag geholfen hat! « <| 2 AMD Opterons 2384@ 8x3,2ghz | Tyan S2915 | 10GB | 2x 8800GT | 8400GS | Dell 3008WFP + 2x2007FP |> |
|
| |
|
| - Anzeige - | |
|
|
[HaBo] » Security Area » Webmaster-Security » Absicherung vor xss und sqlinjections
| Themen-Optionen | |
| Ansicht | |
Linear-Darstellung
| |
Ähnliche Themen | ||||
| Thema | Autor | Forum | Antworten | Letzter Beitrag |
| Absicherung eines anonymen P2P-Netzwerks gegen manipulierte Clients | hummel | (In)security allgemein | 6 | 20.05.08 15:53 |
| Absicherung vor xss und sqlinjections | easteregg | (Web-) Design und webbasierte Sprachen | 2 | 02.04.08 01:56 |
| Absicherung per USB-Stick möglich??? | JasonDinAlt | (In)security allgemein | 15 | 02.11.04 15:36 |
