Hallo!

eigentlich nicht. - Was aber interessant ist: Wie macht man's, wenn der SQL-Dialekt keine SPs unterstuetzt? Handarbeit?   :-(

Escaping. Das hilft 100%. Gute Datenbank-APIs stellen dafür Schnittstellen und/oder Methoden bereit.

Bist Du Dir da sicher?
mysql_real_escape_string() schützt folgende Zeichen:

NUL (ASCII 0),
\n', \r',
 \',  '',
 `"'

http://www.mysql.com/doc/de/mysql_real_escape_string.html

Was ist wenn ich sowas mache:

$id = "1 OR > 0";
$sql = "SELECT * FROM table WHERE id = ".mysql_real_escape_string($id);

IMHO sollte man die Werte immer noch in ' setzen, also

$sql = "SELECT * FROM table WHERE id = '".mysql_real_escape_string($id)."'";

Grüße
Andreas

Hi,

Klar, kann hier ' escapen, aber das kann man auch umgehen oder? Mit meinen Funktionen fange ich hauptsächlich ; ab...

'Sven Rautenberg' bezog sich vermutlich nicht auf ein komplexes Schluesselwoerter-Escaping, sondern eher auf das Escapen der Hochkommata bzw. Anfuehrungszeichen.

Gruss,
Lude

Moin!

Aber wie verhindere ich z.B. beim Einloggen folgendes:

Du gibst ein:

' having 1=1 ---

Und das Hochkomma-Escaping macht daraus:

' having 1=1 ---

Im Zusammenbau des SQL-Strings wird dann daraus:

SELECT * FROM tabelle WHERE feld = '' having 1=1'

Ist ungefährlich.

' or tabelle.feld like 'a%' ---

Dito.

Klar, kann hier ' escapen, aber das kann man auch umgehen oder? Mit meinen Funktionen fange ich hauptsächlich ; ab...

Escaping nimmt Sonderzeichen ihre Bedeutung. Dein Hochkomma ist also danach kein "Stringbeendigungshochkomma" mehr, sondern ein ganz einfaches Zeichen, das keine Wirkung entfaltet.

- Sven Rautenberg