Suche in PHP-es geht um Sicherheit

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Suche in PHP-es geht um Sicherheit

    Hallo,

    Also ich habe eine Suche mit PHP gebastelt, jetzt wollte ich fragen, ob es möglich wäre, dass ein user ins Formularfeld(Suchbegriff) einfach eine Abfrage reinschreibt, bsp. DELETE FROM tabelle WHERE usw..

    Die Suche wird per SELECT gestartet, bsp. :SELECT * FROM tabelle WHERE keyword OR beschreibung LIKE'%$suchbegriff%';

    Wenn jetzt als Suchbegriff die DELETE-Abfrage steht, ist es dann möglich das MySQL diese tatsächlich ausführt??? oder wenn der user jetzt DROP table reinschreibt?
    www.php-tutorials.de

  • #2
    es kann dir ja auch niemand verbeten einen datensatz anzulegen in dem DROP TABLE drinsteht, also kannst du auch gefahrlos danach suchen
    Ich denke, also bin ich. - Einige sind trotzdem...

    Kommentar


    • #3
      Nein, nein! Ich wollte fragen, ob man da direkt ne Abfrage ausführen kann, nennt sich glaub ich injection, so das der User meine Tabellen löschen kann, oder Datensätze löschen kann!!!!!

      Geht sowas, wäre ziemlich gefährlich für meine zuk. Seite
      www.php-tutorials.de

      Kommentar


      • #4
        wenn du mit addslashes(), stripslashes() und htmlentities() arbeitest, und deine sql-queries korrekt im code hast, hast du damit keine probleme.
        INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |


        Kommentar


        • #5
          Nein, nein! Ich wollte fragen, ob man da direkt ne Abfrage ausführen kann, nennt sich glaub ich injection, so das der User meine Tabellen löschen kann, oder Datensätze löschen kann!!!!!
          wie soll er das machen, wenn die abfrage mit select startetst?

          Aber addslashes, etc solltest du auch nehmen, wie schon gesagt!
          Zuletzt geändert von TobiaZ; 06.09.2003, 19:21.

          Kommentar


          • #6
            [ Bullshit zurückgezogen ]

            War wohl eine Überreaktion.
            Zuletzt geändert von unifire; 06.09.2003, 21:13.

            Kommentar


            • #7
              OffTopic:
              Tja, andi, es hindert dich niemand daran es besser zu machen. Aber außer diesem Post und dummen Fragen hast DU noch nichts geleistet...

              Ich wüsste nicht, was falsch daran ist, wenn ich den Usern zeige, wie sie selbst an die Lösung kommen. Und nur, weil ich nicht einsehe jedem Noob den fertigen Code in die Hand zu drücken, sind meine Beiträge noch lange kein Bullshit. Da doch eher deine Beiträge, die locker durch studieren des Manuals zu lösen sind.

              Kommentar


              • #8
                @unifire

                wo ist der nonsense?

                er hat doch gesagt, dass es nicht geht per MySQL.

                Wenn dann musst du per php das statement rausfiltern und ein extra query machen.

                btw: so würd ichs machen... aber deine Sache
                Zuletzt geändert von Moqui; 06.09.2003, 19:36.
                tata
                moqui

                [COLOR=red]Ich will keine unaufgeforderten Mails über PHP Fragen. Es gibt ein Forum hier! Und ich bin nicht Scripter für jeden, der mir ne Mail schreibt![/COLOR]

                Kommentar


                • #9
                  @unifire: Der einzige Bullshit, den ich hier sehe, kommt von dir.

                  @extreme: Guck dir die erwähnten slashes-Funktionen im php-Manual an, die sind genau aus dem Grund, den Du ansprichst, entstanden. Und füge Variablen innerhalb von SQL-Anweisungen immer in Anführungszeichen ein (das ist mit "sauber" gemeint). Dann passt das.
                  Zuletzt geändert von pekka; 06.09.2003, 20:55.

                  Kommentar


                  • #10
                    Vielen Dank für die Hilfe, habs hinbekommen, ich bin nicht unbedingt der programmierdummie, aber mir fielen da keine funktionen in php ein!!1

                    Anregungen sind auch besser als fertiger Code-.Da lernt man, alle anderen sind faul!!!
                    www.php-tutorials.de

                    Kommentar

                    Lädt...
                    X