Rolf B: Tabellenwerte in <form eingeben

Beitrag lesen

SELF-Forum

Tabellenwerte in <form eingeben

Rolf B
Informationen zu den Bewertungsregeln

Hallo Felix,

ok, ich hätte gedacht du wolltest vor Codeinjektionen durch böse Namen warnen. Angesichts der Historie von PHP ist ein solches Loch durchaus vorstellbar.

Dass jemand direkt aus dem $_POST Array SQL generiert, darauf wäre ich nun nicht gekommen. Aber Deppen, die solche „genialen“ Ideen haben und vielleicht auch noch anpreisen, gibt's im wirren weiten Web genug.

Die rettest du aber auch nicht mit deinem Namenskonzept. Ob ich foo-123-name schreibe und daraus SQL generiere oder ngc[1701][captain][1] ändert nichts, solange man stumpf generiert.

Rolf

--
sumpsi - posui - clusi

  1. ja Gunnar, dieser Index ist ggf nicht numerisch ↩︎

Beitrag melden
Informationen zu den Bewertungsregeln
0 44

Tabellenwerte in <form eingeben

Linuchs
  • html
  1. 0
    Raktenbürokratieverbesserer
    1. 0
      Linuchs
      1. 0
        Raketentester
        1. 0
          Linuchs
          1. 0
            Raketentester
            1. 0
              Raketentester
          2. 0
            Linuchs
            1. 0
              Linuchs
            2. 0
              Raketenprogramminspektor
            3. 0
              Matthias Apsel
              1. 0
                Der Martin
  2. -1
    Felix Riesterer
    • html
    • javascript
    • php
    1. 0
      pl
      1. 0
        Felix Riesterer
        1. -1

          Best Practice

          pl
          1. -1

            Best Practice in konkreten Anwendungsfall

            pl
  3. -1
    php
    1. 0
      Felix Riesterer
      1. 0
        pl
      2. 0
        Rolf B
        1. 0
          Felix Riesterer
          1. 0
            Der Martin
            • datenmodell
            • html
            1. 0
              Felix Riesterer
              1. 0
                Rolf B
                1. 0
                  Felix Riesterer
              2. -1

                Requestparameter sind tainted!

                pl
                1. 0
                  Rolf B
                  1. 0
                    pl
                2. 0
                  Raketenchemiker
                  1. 0
                    pl
                    1. 0
                      pl
                      1. 0
                        Raketensicherheitsinspektor
                        1. 0
                          pl
                          1. 0
                            Raketenflugbahnkenner
                    2. 0
                      Raketenhandbuchleser
                      1. 0
                        pl
                        1. 0
                          Raketenhandbuchleser und -Tester
                  2. 0
                    pl
                    1. 0
                      Raketenunsinndiagnostiker
  4. 1
    robertroth
    • datenbank
    • html
    • webserver
    1. 0
      pl
    2. 0
      Raktensinnsucher
      1. 0
        TS
        • client
        • datenbank
        • webserver