Einzelnen Beitrag anzeigen
  #10 (permalink)  
Alt 19-12-2006, 08:59
jahlives
 Master
Links : Onlinestatus : jahlives ist offline
Registriert seit: Jun 2004
Ort: Hooker in Kernel
Beiträge: 8.279
jahlives ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Auf einer prod Umgebung sollte das error_reporting() natürlich heruntergeschraubt werden, da hast du recht.
Zitat:
Get Variablen sollten sicherlich auch mithilfew von mysql_real_escape_string() geschützt
Wenn du einen md5() oder eine andere Hashfkt drüberlässt, dann sollten aus solchen Vars keine Gefahren mehr für die DB entstehen. Grundsätzlich musst du aber trotzdem alle Vars, die vom User kommen prüfen und entschärfen v.a. wenn diese ohne Hash Fkt verwendet werden.
Wenn der User jetzt das PW 'ichbingeheim;' hat dann wird ein mysql_real_escape_string() kontraproduktiv sein. Denn ein allfälliger Hash würde von 'ichbingeheim\;' gebildet werden und diese stimmt nicht mit dem UserPW überein.

Gruss

tobi
__________________
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)
Mit Zitat antworten