wie sicher sind denn DB-Queries

**Nagilum** · 14.11.2002, 14:40

schau mal hier: http://www.oreilly.de/artikel/php_sicherheit.html

**joschua** · 14.11.2002, 17:33

$db->query($get_variable);

**array_hunter** · 14.11.2002, 18:18

danke an euch

mich würden vor allem praktische Tips interessieren, wie ihr ein Query "bombensicher" macht ?

**Nezzar** · 15.11.2002, 11:58

Na vorher die Variablen durchchecken.

**eX0du5** · 25.11.2002, 07:02

Du kannst auch dafür sorgen, daß niemand solche Daten eingeben kann. Also durch Pulldownmenüs, Radiobuttons oder durch Checkboxes. Erst in einem Textfield kann man so etwas wie "drop table" einbauen. Dann mußt du halt noch den String nach dem Wort "drop" durchsuchen oder halt noch nach ein paar anderen KEYwords. Dann bist du schonmal ziemlich sicher, daß keiner irgendwelchen Mist in deine Textfelder geschrieben hat. Aber sowas wie "Drop" und "delete" oder "update" sollte auf jeden Fall in den Textfeldern verboten sein!!!

**wahsaga** · 25.11.2002, 09:45

Du kannst auch dafür sorgen, daß niemand solche Daten eingeben kann. Also durch Pulldownmenüs, Radiobuttons oder durch Checkboxes. Erst in einem Textfield kann man so etwas wie "drop table" einbauen.

in dem fall musst du dich dann auf die daten verlassen, die dir gesendet werden.
solange der aufruf also über die originale webseite erfolgt, und dort die auswahl der möglichen werte per dropdown gemacht wurde, kein problem.

aber ich kann dir ja mit entsprechendem programm jede art von GET- oder POST-request an deinen webserver schicken, wenn gewünscht auch noch mit gefaketem referer, damit es so aussieht als käme die anfrage über die webseite.

und dann kann dein dropdown von mir aus nur die werte 'ungefaehrlich1', 'ungefaehrlich2' und 'ungefaehrlich3' enthalten, völlig egal, weil ich stattdessen die entsprechende variable in meinem request mit 'drop table xy' belege.

**Titus** · 25.11.2002, 13:52

Mit mysql_escape_string hat sich das erledigt.

**Metallica** · 05.12.2002, 09:31

was bewirkt dieses $db->query($get_variable);

**Nezzar** · 06.12.2002, 10:27

Das eine Query die vom Anwender kommt ausgeführt wird. Was natürlich extrem schlimm ausgehen könnte.

**eX0du5** · 12.12.2002, 21:29

mysql

Also wenn du mysql hast und da die RootRechte hast bzw. Rechte einen neuen User anzulegen, dann solltest du mal folgendes eingeben in mysql:

GRANT SELECT
ON deintable.*
TO neueruser@"%domain.de"
IDENTIFIED BY 'newpass';

Damit erstellst du einen neuen User hier neueruser mit dem PW newpass.
Dieser darf ausschließlich Select Anfragen schicken - also keine Drop Table etc!!!! und er kommt von der Domain.de Adresse. Anfragen von anderen Adressen werden dann einfach ignoriert.
Auf diese Weise kannst du deine Webseite relativ sicher machen, da du immer dann, wenn du Formularfelder hast (z.b. Suchfelder) diese keinen Schaden mehr anrichten können. Wenn du Daten eintragen willst, kannst du ja noch Insert erlauben. Du kannst alle einzelnen Bereiche selbst festlegen und evt sogar untersch. User für die versch. Sicherheitszonen erstellen. Damit bist du dann schonmal ziemlich sicher gegen Löschatacken etc.! Bei Insert kannst du dann "nur" noch zugespammt werden. Aber das sollte man ja mit einer IP/Cookiesperre regeln können.

wie sicher sind denn DB-Queries