php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 29-11-2011, 13:56
anna28
 Registrierter Benutzer
Links : Onlinestatus : anna28 ist offline
Registriert seit: Sep 2011
Beiträge: 40
anna28 befindet sich auf einem aufstrebenden Ast
Standard Schutz vor SQL injection

Ich habe ein Anmeldeformular über 3 Seiten und benutze für die Variablen eine Session. Jetzt möchte ich durch einen Filter den Eintrag von gefährlichem Code in die MySQL Datenbank verhindern. Ich wollte jeweils am Anfang jeder Seite einen Filter einbauen.
PHP-Code:
foreach($_POST as $key => $value) {
    
$data[$key] = filter($value); 
PHP-Code:
function filter($data) {
    
$data trim(htmlentities(strip_tags($data)));
    
    if (
get_magic_quotes_gpc())
        
$data stripslashes($data);
    
    
$data mysql_real_escape_string($data);
    
    return 
$data;

Frage 1: Kann ich anstelle der Post-Variable die von Code befreite Variable in eine Session anmelden? So klappt es ja nicht - Wie wäre die richtige Syntax?
PHP-Code:
$_SESSION['Vorname'] = '$data[Vorname]'
Frage 2: Oder ist es sinnvoller die Variablen so in die Session aufzunehmen
PHP-Code:
$Vorname mysql_real_escape_string($_POST['Vorname']);
$_SESSION['Vorname'] = $Vorname
und dann den Filter erst auf der letzten Formularseite vor dem INSERT in die SQL Tabelle anzuwenden? Danke für alle Hinweise, ich bin noch Anfänger ;-)
Mit Zitat antworten
  #2 (permalink)  
Alt 29-11-2011, 13:59
h3ll
 Registrierter Benutzer
Links : Onlinestatus : h3ll ist gerade online
Registriert seit: Mar 2008
Beiträge: 3.595
h3ll befindet sich auf einem aufstrebenden Ast
Standard

Das ist hochgradiger Quatsch. Du mischt irgendwie lauter Funktionen, die nichts miteinander zu tun haben, zusammen und schreibst dadurch Müll in die Datenbank und in die Session.

htmlentities() brauchst du überhaupt nicht.

mysql_real_escape_string() _nur_ bei SQL-Abfragen verwenden.

htmlspecialchars() _nur_ bei HTML-Ausgaben verwenden.

Beides zusammen ergibt in der Regel keinen Sinn, außer du möchtest HTML-Code in die Datenbank schreiben, was aber eher ein Sonderfall ist.

Für die Werte in der Session darf weder htmlentities() bzw. htmlspecialchars(), noch mysql_real_escape_string() verwendet werden.

Also bevor du irgendeine Funktion von den genannten verwendest, solltest du erstmal überlegen: Was will ich eigentlich machen? Möchte ich den Wert in eine Datenbankabfrage einsetzen? Dann SQL-escapen. Möchte ich den Wert auf einer HTML-Seite ausgeben? Dann HTML-escapen. Möchte ich ihn in die Session speichern oder den Wert weiterverarbeiten? Dann muss er in seiner Reinform (ohne irgendein Escaping) vorhanden sein.

Geändert von h3ll (29-11-2011 um 14:02 Uhr)
Mit Zitat antworten
  #3 (permalink)  
Alt 29-11-2011, 16:29
anna28
 Registrierter Benutzer
Links : Onlinestatus : anna28 ist offline
Registriert seit: Sep 2011
Beiträge: 40
anna28 befindet sich auf einem aufstrebenden Ast
Standard

Im prinzip verstanden und etwas durcheinander gebracht. Allerdings ist der Filter, den ich da eingebaut habe sicher nicht ganz falsch, bevor ich alle Formularvariablen in die Datenbank einspiele? Ich werde dann auf den verschiedenen Formularseiten einfach nach dem Muster arbeiten.
PHP-Code:
$Vorname $_POST['Vorname'];
$_SESSION['Vorname'] = $Vorname
Mit Zitat antworten
  #4 (permalink)  
Alt 29-11-2011, 16:32
h3ll
 Registrierter Benutzer
Links : Onlinestatus : h3ll ist gerade online
Registriert seit: Mar 2008
Beiträge: 3.595
h3ll befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von anna28 Beitrag anzeigen
Im prinzip verstanden und etwas durcheinander gebracht. Allerdings ist der Filter, den ich da eingebaut habe sicher nicht ganz falsch, bevor ich alle Formularvariablen in die Datenbank einspiele?
Zu 80% falsch. Also 20% richtig.

Zitat:
Zitat von anna28 Beitrag anzeigen
Ich werde dann auf den verschiedenen Formularseiten einfach nach dem Muster arbeiten.
PHP-Code:
$Vorname $_POST['Vorname'];
$_SESSION['Vorname'] = $Vorname
Warum der Zwischenschritt über die Variable $Vorname?

PHP-Code:
$_SESSION['Vorname'] = $_POST['Vorname']; 
Mit Zitat antworten
  #5 (permalink)  
Alt 29-11-2011, 19:04
anna28
 Registrierter Benutzer
Links : Onlinestatus : anna28 ist offline
Registriert seit: Sep 2011
Beiträge: 40
anna28 befindet sich auf einem aufstrebenden Ast
Standard

Warum eigentlich nicht. Hatte das bestimmt mal so irgendwo aufgeschnappt. Danke
Mit Zitat antworten
  #6 (permalink)  
Alt 29-11-2011, 19:06
h3ll
 Registrierter Benutzer
Links : Onlinestatus : h3ll ist gerade online
Registriert seit: Mar 2008
Beiträge: 3.595
h3ll befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von anna28 Beitrag anzeigen
Warum eigentlich nicht.
Warum schon? Beschäftigungstherapie?

Ich sag ja nicht, dass es falsch ist. Aber wozu die unnötige Variablenschieberei? Wenns dir Spaß macht, kannst du es ja gerne machen
Mit Zitat antworten
  #7 (permalink)  
Alt 29-11-2011, 19:15
anna28
 Registrierter Benutzer
Links : Onlinestatus : anna28 ist offline
Registriert seit: Sep 2011
Beiträge: 40
anna28 befindet sich auf einem aufstrebenden Ast
Standard

Ich meinte "warum eigentlich nicht" so wie Du es gezeigt hast ;-)
Mit Zitat antworten
Antwort

Lesezeichen

Stichworte
escapen, filter, injections


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
PHP: $_GET-Daten-Sicherheit (XSS/SQL-Injection/Code-Injection) dreman PHP Developer Forum 2 22-01-2009 22:27
Schutz vor Injection carapau BRAINSTORMING PHP/SQL/HTML/JS/CSS 1 10-11-2007 15:32
[Email] Schutz vor Spam Meillo Off-Topic Diskussionen 6 28-04-2005 19:05
Script Schutz vor Hacker mchashi PHP Developer Forum 5 08-01-2004 14:04
Schutz vor unerlaubten php-Scripten monalisa PHP Developer Forum 2 13-02-2002 07:33

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

ADSMAN V3 - Werbe-Manager ansehen ADSMAN V3 - Werbe-Manager

ADSMAN V3 - mehr als nur ein Bannermanager! Banner, Textanzeigen und PagePeel Manager! Mit ADSMAN PRO haben Sie die Marketinglösung für eine effektive und effiziente Werbeschaltung mit messbaren Ergebnissen. Unterstützt werden Bannerformate in beliebi

25.10.2018 virtualsystem | Kategorie: PHP/ Bannerverwaltung
PHP News und Artikel Script V2

News schreiben, verwalten, veröffentlichen. Dies ist jetzt mit dem neuen PHP News & Artikel System von virtualsystem.de noch einfacher. Die integrierte Multi-User-Funktion und der WYSIWYG-Editor (MS-Office ähnliche Bedienung) ermöglichen...

25.10.2018 virtualsystem | Kategorie: PHP/ News
Top-Side Guestbook

Gästebuch auf Textbasis (kein MySQL nötig) mit Smilies, Ip Sperre (Zeit selbst einstellbar), Spamschutz, Captcha (Code-Eingabe), BB-Code, Hitcounter, Löschfunktion, Editierfunktion, Kommentarfunktion, Kürzung langer Wörter, Seiten- bzw. Blätterfunktion, V

22.10.2018 webmaster10 | Kategorie: PHP/ Gaestebuch
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 10:58 Uhr.