frage zu sql-angriffen

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • frage zu sql-angriffen

    hej,
    ich bin neu hier und habe eine dumme frage.
    ich möchte auf einer website ein eingabeformular einfügen, deren inhalt (nur text und emailadresse) in einer sql-datenbank abgespeichert werden soll. nun liest man im web viel über sql-insertion attacks usw., und alles klingt sehr kompliziert...
    ich habe mich gefragt, ob (in meinem einfachen fall) nicht folgendes ausreicht:
    php-code:
    Code:
    $this.validate();
    $query ="INSERT INTO message(description, authoremail)
                   VALUES('".$this->description."','".$this->authoremail."')";
    mysql_query($query);
    wobei sich $this auf eine php-klasse bezieht, die die benutzereingaben description und authoremail enthält und validate() eine methode ist, die überprüft, ob in der eingabe eine klammer steht, die nicht zu einem klammernpaar gehört. eigentlich sollte doch jeder versuch, mit dem sql rumzumurksen an der nicht geschlossenen klammer scheitern, oder?
    wenn ich das hier alles VIEL zu einfach sehe usw., wäre ich für links zu (aktuellen, vernünftigen und gut zu verstehenden) hinweisen zu diesem thema sehr dankbar.
    vielen dank für eure hilfe!

  • #2
    Suche doch mal nach SQL-Injection, da wird dir geholfen. Du stellst Code hierein, aber das Wichtigste verschweigst du, wie soll man denn da was sagen können

    Kommentar


    • #3
      PHP-Code:
      $this.validate(); 
      funzt nicht!
      eigentlich sollte doch jeder versuch, mit dem sql rumzumurksen an der nicht geschlossenen klammer scheitern, oder?
      Kennst du mysql_real_escape_string()?

      Gruss

      tobi
      Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

      [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
      Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

      Kommentar


      • #4
        hej,
        vielen dank. nach sql-insertion habe ich natürlich schon gesucht... ich dachte, es ginge vielleicht in diesem falle einfacher. die methode validate() muss natürlich noch geschrieben werden. aber sie soll ganz einfach mithilfe von regexp überprüfen, ob der string eine schließende klammer enthält, die nicht zu einer öffnenden klammer gehört.
        danke für den hinweis auf mysql_real_escape_string(), jahlives! das tut's vielleicht schon.

        Kommentar


        • #5
          vielen dank. nach sql-insertion habe ich natürlich schon gesucht... ich dachte, es ginge vielleicht in diesem falle einfacher. die methode validate() muss natürlich noch geschrieben werden. aber sie soll ganz einfach mithilfe von regexp überprüfen, ob der string eine schließende klammer enthält, die nicht zu einer öffnenden klammer gehört.
          danke für den hinweis auf mysql_real_escape_string(), jahlives! das tut's vielleicht schon.
          Mach dir nicht so einen Aufwand, von wegen Klammern suchen, etc.! String escapen und fertig werden!

          Kommentar

          Lädt...
          X