Umkreissuche bearbeitet von Christian Kruse 03.06.2017 09:22 Hallo dedlfix,> Die Wahrscheinlichkeit halte ich für äußerst gering. Da müsste schon grundlegend etwas an der Syntax für Stringliterale gedreht werden. Und das würde jede Menge Anwendungen kaputtmachen, die Escaping nicht oder anders verwenden. Solch ein Schritt wird nicht ohne Not erfolgen.Es ging mir nicht um die Wahrscheinlichkeit. Es ging mir darum, dass diese Fehlerklasse sich leicht vermeiden lässt indem man die korrekte Methode zum escapen verwendet. Wenn man Fehlerklassen vermeiden kann, sollte man das tun, Stichwort robuste Programmierung - es gibt schon mehr als genug Möglichkeiten Bugs einzubauen.**Edit:** um das nochmal zu verdeutlichen: für einen Sicherheits-Aspekt sind mir das zu viele Wenns und Abers. Du hast recht, dass `addslashes()` reicht, wenn UTF-8 als Encoding benutzt wird. Aber das alles zu beachten ist zu komplex, KISS ist für Security essentiell. Eliminiere diese Fehlerklasse! In anderen Encodings gibt es nämlich durchaus die Möglichkeit, `addslashes()` auszutricksen, siehe etwa [diesen Blogpost](http://shiflett.org/blog/2006/jan/addslashes-versus-mysql-real-escape-string) (danke, @mermshaus, für den Link).LG, CK-- <https://wwwtech.de/about>
Umkreissuche bearbeitet von Christian Kruse 03.06.2017 10:28 Hallo dedlfix,> Die Wahrscheinlichkeit halte ich für äußerst gering. Da müsste schon grundlegend etwas an der Syntax für Stringliterale gedreht werden. Und das würde jede Menge Anwendungen kaputtmachen, die Escaping nicht oder anders verwenden. Solch ein Schritt wird nicht ohne Not erfolgen.Es ging mir nicht um die Wahrscheinlichkeit. Es ging mir darum, dass diese Fehlerklasse sich leicht vermeiden lässt indem man die korrekte Methode zum escapen verwendet. Wenn man Fehlerklassen vermeiden kann, sollte man das tun, Stichwort robuste Programmierung - es gibt schon mehr als genug Möglichkeiten Bugs einzubauen.**Edit:** um das nochmal zu verdeutlichen: für einen Sicherheits-Aspekt sind mir das zu viele Wenns und Abers. Du hast recht, dass `addslahes()` reicht, wenn UTF-8 als Encoding benutzt wird. Aber das alles zu beachten ist zu komplex, KISS ist für Security essentiell. Eliminiere diese Fehlerklasse! In anderen CharsetEncodings gibt es nämlich durchaus die Möglichkeit, `addslahes()` auszutricksen, siehe etwa [diesen Blogpost](http://shiflett.org/blog/2006/jan/addslashes-versus-mysql-real-escape-string) (danke, @mermshaus, für den Link).LG, CK-- <https://wwwtech.de/about>
Umkreissuche bearbeitet von Christian Kruse 03.06.2017 09:42 Hallo dedlfix,> Die Wahrscheinlichkeit halte ich für äußerst gering. Da müsste schon grundlegend etwas an der Syntax für Stringliterale gedreht werden. Und das würde jede Menge Anwendungen kaputtmachen, die Escaping nicht oder anders verwenden. Solch ein Schritt wird nicht ohne Not erfolgen.Es ging mir nicht um die Wahrscheinlichkeit. Es ging mir darum, dass diese Fehlerklasse sich leicht vermeiden lässt indem man die korrekte Methode zum escapen verwendet. Wenn man Fehlerklassen vermeiden kann, sollte man das tun, Stichwort robuste Programmierung - es gibt schon mehr als genug Möglichkeiten Bugs einzubauen.**Edit:** um das nochmal zu verdeutlichen: für einen Sicherheits-Aspekt sind mir das zu viele Wenns und Abers. Du hast recht, dass `addslahes()` reicht, wenn UTF-8 als Encoding benutzt wird. Aber das alles zu beachten ist zu komplex, KISS ist für Security essentiell. Eliminiere diese Fehlerklasse! In anderen Charsets gibt es nämlich durchaus die Möglichkeit, `addslahes()` auszutricksen, siehe etwa [diesen Blogpost](http://shiflett.org/blog/2006/jan/addslashes-versus-mysql-real-escape-string) (danke, @mermshaus, für den Link).LG, CK-- <https://wwwtech.de/about>
Umkreissuche bearbeitet von Christian Kruse 03.06.2017 09:40 Hallo dedlfix, > Die Wahrscheinlichkeit halte ich für äußerst gering. Da müsste schon grundlegend etwas an der Syntax für Stringliterale gedreht werden. Und das würde jede Menge Anwendungen kaputtmachen, die Escaping nicht oder anders verwenden. Solch ein Schritt wird nicht ohne Not erfolgen. Es ging mir nicht um die Wahrscheinlichkeit. Es ging mir darum, dass diese Fehlerklasse sich leicht vermeiden lässt indem man die korrekte Methode zum escapen verwendet. Wenn man Fehlerklassen vermeiden kann, sollte man das tun, Stichwort robuste Programmierung - es gibt schon mehr als genug Möglichkeiten Bugs einzubauen. LG, CK -- <https://wwwtech.de/about>
nicht angemeldet
