dedlfix: PHP MySQL Datenbank durchsuhen

Beitrag lesen

SELF-Forum

PHP MySQL Datenbank durchsuhen

dedlfix
+4 Informationen zu den Bewertungsregeln

echo $begrüßung;

wenn ich magic_quotes nicht abschalte aber dafür mysql_real_escape_string() verwende bin ich dann auf der sicheren seite?

Dann bist du auf der unsinnigen Seite, weil du zusätzlich zur Behandlung durch die Magic Quotes noch eigene Behandlung hinzufügst und somit etwas völlig unbrauchbares entsteht und nur noch mehr Folgefehler nach sich zieht.

Magic Quotes steht aufgrund seiner Nebenwirkungen auf der Abschussliste. Vergiss, dass es dir irgendwelche Vorteile oder Sicherheiten bringt, denn es bringt dir auch genügend Nachteile. Deaktiviere es oder mach seine Auswirkungen einmalig am Scriptanfang rückgängig. Diese Rückgängigmachung kannst du dann bei PHP6 recht einfach entfernen und musst nicht das gesamte Script nach stripslashes() durchsuchen.

Nachdem nun deine Eingabedaten in Rohform vorliegen, musst du dir das Prinzip der kontextgerechten Behandlung zu Herzen nehmen. Wann immer ein Wert in einen anderen Kontext gebracht wird, behandle ihn dem Kontext entsprechend. Fügst du etwas in HTML ein, behandle die HTML-eigenen Zeichen <>& und gegebenenfalls " und '. PHP stellt dafür htmlspecialchars() zur Verfügung. Fügst du einen Wert in einen MySQL-String ein, nimm mysql_real_escape_string() zur kontextgerechten Behandlung. Fügst du etwas in eine URL ein, nimm eine URL-gerechte Behandlung. Und so weiter, und so fort. Beachte auch Schachtelungen. Ein Wert in eine URL einfügen, die in ein HTML-Dokument eingefügt werden soll benötigt zuerst eine URL-gerechte Behandlung des Wertes und die fertige URL eine HTML-gerechte Behandlung.

Die Behandlung ist übrigens erst genau zum Zeitpunkt des Kontextwechsels sinnvoll, nicht irgendwann weit vorher oder gar in einem früheren Bearbeitungsschritt. HTML-gerechte Behandlung hat in einer Datenbank nichts zu suchen. Auch dann nicht, wenn du heute weißt, dass diese Daten immer in einem HTML-Kontext ausgegeben werden sollen.

Wenn du diesen Grundsatz der kontextgerechten Behandlung konsequent (und fehlerfrei) einhältst, bist du auf der sicheren Seite was die Injection-Lücken angeht, egal was dir deine Anwender für Daten unterjubeln oder welche erwünschten Sonderzeichen sie enthalten.

echo "$verabschiedung $name";

Beitrag melden
+4
Informationen zu den Bewertungsregeln
0 35

PHP MySQL Datenbank durchsuhen

kleiner hobbit
  • php
  1. 0
    Tom
    1. 0
      kleiner hobbit
      1. 0
        Tom
        1. 0
          Rouven
          1. 0
            kleiner hobbit
            1. 0
              Tom
              1. 0
                kleiner hobbit
                1. 0
                  Malcolm Beck´s
                2. 4
                  dedlfix
            2. 2

              SQL-Injektionen verhindern, Magic Quotes deaktivieren

              Dennis
  2. 1
    Christoph Jeschke
    1. 0
      Tom
      1. 0
        Christoph Jeschke
        1. 0
          Vinzenz Mai
          1. 0
            Tom
          2. 0
            Christoph Jeschke
            1. 0
              Vinzenz Mai
      2. 0
        dedlfix
        1. 0
          Tom
          1. 0
            dedlfix
            1. 0
              EKKi
              • meinung
              1. 0
                dedlfix
                1. 0
                  EKKi
                  1. 0
                    dedlfix
            2. 0
              Tom
              1. 0
                dedlfix
                1. 0
                  Tom
        2. 0
          Sven Rautenberg
          1. 0
            dedlfix
            1. 0
              Sven Rautenberg
    2. 0
      hawkmaster
      1. 0

        Niemand eine Idee?

        hawkmaster
      2. 0
        dedlfix
      3. 0
        Christoph Jeschke