Nachträglich eine Klasse bearbeiten und Query's escape'n

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Nachträglich eine Klasse bearbeiten und Query's escape'n

    Abend zusammen,

    und zwar habe ich gerade eine kleines Problem.
    Ich habe hier ein Script vor mir liegen, welches alle Query's an eine Klasse übergibt und diese dann den Query ausführt.
    Soweit ist das schön und gut, nur ist mir eben aufgefallen, das nicht ein einziges mal mysql_real_escape_string oder ähnliches verwendet wird.
    Sprich eine klitzekleine Sicherheitslücke, welche ich gerne schließen möchte.

    Und da kommt meine Frage:
    Da ich nicht wirklich Lust habe Massen von Dateien nachzubearbeiten dachte ich mir, das ich die Klasse so erweitere, das mysql_real_escape_string automatisch vor jeden Wert gesetzt wird.
    Um das zu realisieren stelle ich mir da allerdings gerade ein Gewimmel von IF-Abfragen vor, was ich widerrum auch nicht wirklich prickelnd finde.

    Hat jemand eine Idee, wie man das am besten machen könnte?
    Oder doch lieber alle Datien einzeln nachbearbeiten?


    Wäre für jeden Tipp dankbar.
    mfg - sagg

  • #2
    Hi,

    Du musst doch nur den Input escapen, also deine POST Werte die du annimmst.
    Also schreib dir eine Funktion die dein Datenarray aufnimmt und escaped.

    Gruß Thomas

    Kommentar


    • #3
      Hm, stimmt eigentlich.
      Warum schwierig, wenn's auch einfach geht?
      Warum ich darauf nicht selber gekommen bin...

      Danke dir, werde ich gleich mal umsetzten.
      mfg - sagg

      Kommentar


      • #4
        Keine Ursache...

        Kommentar


        • #5
          Auf die Schnelle in der index.php hin geschmissen, um zu sehen ob es irgendwo Konflikte gibt, aber scheint nicht der Fall zu sein.

          Hier für die Nachwelt: (Ja, das war wahnsinnig schwierig. )
          PHP-Code:
          function escape_vars($item$key) {
              
          mysql_real_escape_string($item[$key]);
          }
          array_walk($_REQUEST'escape_vars'); 
          Jetzt noch ein bischen Verfeinern und die Sache ist geritzt.
          mfg - sagg

          Kommentar


          • #6
            Sieht gut aus, array_walk kannte ich noch nicht. Wieder etwas dazu gelernt. Eine Hand wäscht die andere.

            Kommentar

            Lädt...
            X