Der Martin: Sicherheit: MySql-Injection und Zugriff "von aussen"

Beitrag lesen

Hi Thorsten,

Mein momentaner Infostand: bei Benutzung von mysql_real_escape_string() ist eine mysql-injection praktisch ausgeschlossen?
wenn man es richtig[tm] und kosequent anwendet - vermutlich ja.
Heisst also: immer(!) beim Schreiben in die DB

nein, nur bei Stringwerten. Bei numerischen Werten schadet's zwar auch nicht, ist aber unnötig.

und(!) beim Lesen aus der DB?

Nein, warum das? Beim Lesen aus der DB solltest du den reingeschriebenen Wert ohne weitere Maßnahmen im Klartext wieder rausbekommen.
Erst beim Ausgeben als HTML ist wieder Vorsicht angesagt: Damit im Text vorkommende HTML-Sonderzeichen (<, >, &) nicht die Ausgabe versauen, müssen sie HTML-gerecht codiert werden. Hier ist htmlspecialchars() das Mittel der Wahl.

Hast Du, oder sonst noch jemand, noch irgend einen Tip dazu?

Der Wiki-Artikel über Kontextwechsel behandelt das Thema noch recht ausführlich.

Ciao,
 Martin

--
Die letzten Worte des Hardware-Bastlers:
Das Netzkabel lass ich wegen der Erdung lieber dran.
Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(