• Aktualisierte Forenregeln

    Eine kleine Änderung hat es im Bereich Forenregeln unter Abschnitt 2 gegeben, wo wir nun explizit darauf verweisen, dass Forenkommentare in unserer Heftrubrik Leserbriefe landen können.

    Forenregeln


    Vielen Dank

Frage zu Sicherheit von mySQL

C

cornflakes4747

Gast
Hiho.
Die Frage richtet sich an die unter euch, die Ahnung von php und mySQL haben.
Folgendes: Ich habe auf meiner Seite (die noch nicht online ist) ein selbstprogrammiertes Forum und Gästebuch.
Jetzt habe ich vor kurzem einen Artikel über mySQL-Injections gelesen und habe gleich mal bei mir ausprobiert, ob meine Seite auch unsicher ist.
Ich habe es nicht geschafft, durch Formulareingaben wie '; drop table user -- etc. irgendetwas zu erreichen. jetzt bin ich mir aber nicht sicher, ob das nur daran liegt, dass ich schwachsinn eingegeben habe, oder ob meine Seite tatsächlich sicher ist.
Ich habe irgendwo was gelesen dass das auch mit der Einstellung magic-quotes-irgendwas=on zusammenhängt und ich mit dieser Einstellung nicht noch extra addslashes() ausführen muss bevor ich daten in die datenbank schreibe.
Wisst ihr da irgendwas drüber?
Im Voraus danke.
 
cornflakes4747 am 16.10.2004 21:02 schrieb:
Hiho.
Die Frage richtet sich an die unter euch, die Ahnung von php und mySQL haben.
Folgendes: Ich habe auf meiner Seite (die noch nicht online ist) ein selbstprogrammiertes Forum und Gästebuch.
Jetzt habe ich vor kurzem einen Artikel über mySQL-Injections gelesen und habe gleich mal bei mir ausprobiert, ob meine Seite auch unsicher ist.
Ich habe es nicht geschafft, durch Formulareingaben wie '; drop table user -- etc. irgendetwas zu erreichen. jetzt bin ich mir aber nicht sicher, ob das nur daran liegt, dass ich schwachsinn eingegeben habe, oder ob meine Seite tatsächlich sicher ist.
Ich habe irgendwo was gelesen dass das auch mit der Einstellung magic-quotes-irgendwas=on zusammenhängt und ich mit dieser Einstellung nicht noch extra addslashes() ausführen muss bevor ich daten in die datenbank schreibe.
Wisst ihr da irgendwas drüber?
Im Voraus danke.
Zum Vergrößern anklicken....
ich bin anscheind nicht der einzige der zu doof dafür ist
ich hab glaub ich das gleiche wie du gelesen und ich hab es auch nicht hinbekommen.ich wär mal ankbar wenn mir jemand sagen würde wie man so daten löschen kann damit ich das verhindern kann.
 
Das is ja schön. dann sind wir ja schon zu zweit :-)
Aber ich befürchte schon fast dass alle halbwegs vernünftigen Leute am Samstag abend was anderes zu tun haben :-|

Naja vielleicht antwortet ja mal jemand der der Internetsucht schon so weit verfallen ist dass er nicht unterwegs ist...
 
cornflakes4747 am 16.10.2004 21:02 schrieb:
Hiho.
Die Frage richtet sich an die unter euch, die Ahnung von php und mySQL haben.
Folgendes: Ich habe auf meiner Seite (die noch nicht online ist) ein selbstprogrammiertes Forum und Gästebuch.
Jetzt habe ich vor kurzem einen Artikel über mySQL-Injections gelesen und habe gleich mal bei mir ausprobiert, ob meine Seite auch unsicher ist.
Ich habe es nicht geschafft, durch Formulareingaben wie '; drop table user -- etc. irgendetwas zu erreichen. jetzt bin ich mir aber nicht sicher, ob das nur daran liegt, dass ich schwachsinn eingegeben habe, oder ob meine Seite tatsächlich sicher ist.
Ich habe irgendwo was gelesen dass das auch mit der Einstellung magic-quotes-irgendwas=on zusammenhängt und ich mit dieser Einstellung nicht noch extra addslashes() ausführen muss bevor ich daten in die datenbank schreibe.
Wisst ihr da irgendwas drüber?
Im Voraus danke.
Zum Vergrößern anklicken....


jede variable, die vom nutzer irgendwie manipuliert werden KANN, ueberpruefen, bevor man sie einsetzt
 
SebiB90 am 16.10.2004 21:53 schrieb:
[...] damit ich das verhindern kann.
Zum Vergrößern anklicken....
bevor eine variable in eine db geschrieben wird, die der user in irgendeiner art und weise beeinflussen kann, einfach addslashes() über die variable laufen lassen.
 
marky68 am 17.10.2004 15:42 schrieb:
jede variable, die vom nutzer irgendwie manipuliert werden KANN, ueberpruefen, bevor man sie einsetzt
Zum Vergrößern anklicken....

Vielleicht hab ich mich nicht klar genug ausgedrückt.
Wenn ich nur Optionen anbiete, kann ich natürlich überprüfen, ob die Variable tatsächlich einer der Möglichkeiten entspricht.
Aber hier geht es um einen Text, z.B. Gästebucheintrag, den der Benutzer selber eingeben kann.
Die Möglichkeit mit addslashes ist mir bekannt. Aber aus irgendeinem Grund kann ich auch ohne addslashes keine Dummheiten machen.
Ich wollte nur wissen, ob ich einfach nur das falsche ausprobiert habe oder ob mein script tatsächlich schon sicher ist.
Dazu hab ich mal etwas von einer Einstellung namens "magic-quotes-gpc" gelesen, die angeblich automatisch solche böswilligen Eingaben entschärft. Mich interessiert einfach, ob das schon reicht um mich vor SQL-Injections zu schützen.
 
cornflakes4747 am 17.10.2004 16:18 schrieb:
Vielleicht hab ich mich nicht klar genug ausgedrückt.
Wenn ich nur Optionen anbiete, kann ich natürlich überprüfen, ob die Variable tatsächlich einer der Möglichkeiten entspricht.
Aber hier geht es um einen Text, z.B. Gästebucheintrag, den der Benutzer selber eingeben kann.
Die Möglichkeit mit addslashes ist mir bekannt. Aber aus irgendeinem Grund kann ich auch ohne addslashes keine Dummheiten machen.
Ich wollte nur wissen, ob ich einfach nur das falsche ausprobiert habe oder ob mein script tatsächlich schon sicher ist.
Dazu hab ich mal etwas von einer Einstellung namens "magic-quotes-gpc" gelesen, die angeblich automatisch solche böswilligen Eingaben entschärft. Mich interessiert einfach, ob das schon reicht um mich vor SQL-Injections zu schützen.
Zum Vergrößern anklicken....
Einfach nachsehen ist schon verdammt schwer. magic quotes gpc ist vereinfacht gesagt automatisiertes addslashes() für alle get, post und cookie daten.

edit: diese option ist übrigens standardmäßig angeschalten in php.
deswegen entferne ich die escapes auch manuell in jedem meiner scripte. ich will schließlich volle kontrolle darüber, was escaped ist und was nicht. :B
 
ach da hat ja jemand geantwortet :-)
Ich bin aber auch bescheuert. ich reg mich auch dauernd über leute auf die nichmal bei google suchen und weißt du was? ich war so verbohrt dass ich nich nach magic-quotes-gpc gesucht hab. nur nach addslashes, mysql+sicherheit, mysql-injections+verhindern und sowas. naja dankeschön trotzdem.
 
cornflakes4747 am 18.10.2004 17:56 schrieb:
ach da hat ja jemand geantwortet :-)
Ich bin aber auch bescheuert. ich reg mich auch dauernd über leute auf die nichmal bei google suchen und weißt du was? ich war so verbohrt dass ich nich nach magic-quotes-gpc gesucht hab. nur nach addslashes, mysql+sicherheit, mysql-injections+verhindern und sowas. naja dankeschön trotzdem.
Zum Vergrößern anklicken....
hehe.
kleiner tipp:
de.php.net/* is der beste anlaufpunkt für fragen zu php :)

*) wo der stern steht, kann man eingeben was man will - die seite sucht dann automatisch nach der passendsten seite (referenz, funktionsbeschreibung etc.)
 
skicu am 18.10.2004 18:22 schrieb:
*) wo der stern steht, kann man eingeben was man will - die seite sucht dann automatisch nach der passendsten seite (referenz, funktionsbeschreibung etc.)
Zum Vergrößern anklicken....


oder einfach nur php.net/*

...wenn der browser im user_agent die sprache mitsendet.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

D
Das Adventuregenre dreht sich im Kreis und mein Vorhaben
Antworten
6
Aufrufe
986
Danny_GameDev
D
ZgamerZ
Blog Mache ich KUNST oder KOMMERZ? - Ein erschöpfender Thesentext
Antworten
0
Aufrufe
1K
ZgamerZ
ZgamerZ
der-gilb
Die Schnauze voll von PCGames?! Feedback PCG 05/24
Antworten
9
Aufrufe
2K
Vordack
Vordack
Slimer
Frust über die Qualität von PCGames.de
Antworten
6
Aufrufe
3K
Toni
Toni
ZgamerZ
Blog SONY... WTF macht ihr da?! - Ein Meinungsbeitrag über SONYs GaaS-Strategie
Antworten
0
Aufrufe
755
ZgamerZ
ZgamerZ
Oben Unten
Zurück