php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 06-09-2003, 14:30
extreme
 Newbie
Links : Onlinestatus : extreme ist offline
Registriert seit: May 2001
Beiträge: 27
extreme ist zur Zeit noch ein unbeschriebenes Blatt
extreme eine Nachricht über ICQ schicken
Standard Suche in PHP-es geht um Sicherheit

Hallo,

Also ich habe eine Suche mit PHP gebastelt, jetzt wollte ich fragen, ob es möglich wäre, dass ein user ins Formularfeld(Suchbegriff) einfach eine Abfrage reinschreibt, bsp. DELETE FROM tabelle WHERE usw..

Die Suche wird per SELECT gestartet, bsp. :SELECT * FROM tabelle WHERE keyword OR beschreibung LIKE'%$suchbegriff%';

Wenn jetzt als Suchbegriff die DELETE-Abfrage steht, ist es dann möglich das MySQL diese tatsächlich ausführt??? oder wenn der user jetzt DROP table reinschreibt?
__________________
www.php-tutorials.de
Mit Zitat antworten
  #2 (permalink)  
Alt 06-09-2003, 14:35
mrhappiness
 PHP Guru
Links : Onlinestatus : mrhappiness ist offline
Registriert seit: Oct 2002
Beiträge: 14.890
mrhappiness ist zur Zeit noch ein unbeschriebenes Blatt
mrhappiness eine Nachricht über AIM schicken mrhappiness eine Nachricht über Yahoo! schicken
Standard

es kann dir ja auch niemand verbeten einen datensatz anzulegen in dem DROP TABLE drinsteht, also kannst du auch gefahrlos danach suchen
__________________
Ich denke, also bin ich. - Einige sind trotzdem...
Mit Zitat antworten
  #3 (permalink)  
Alt 06-09-2003, 15:55
extreme
 Newbie
Links : Onlinestatus : extreme ist offline
Registriert seit: May 2001
Beiträge: 27
extreme ist zur Zeit noch ein unbeschriebenes Blatt
extreme eine Nachricht über ICQ schicken
Standard

Nein, nein! Ich wollte fragen, ob man da direkt ne Abfrage ausführen kann, nennt sich glaub ich injection, so das der User meine Tabellen löschen kann, oder Datensätze löschen kann!!!!!

Geht sowas, wäre ziemlich gefährlich für meine zuk. Seite
__________________
www.php-tutorials.de
Mit Zitat antworten
  #4 (permalink)  
Alt 06-09-2003, 16:54
Abraxax
  THE REAL HAXE (Administrator)
Links : Onlinestatus : Abraxax ist offline
Registriert seit: Jul 2002
Ort: neuss.nrw.de
Beiträge: 22.623
Abraxax befindet sich auf einem aufstrebenden Ast
Standard

wenn du mit addslashes(), stripslashes() und htmlentities() arbeitest, und deine sql-queries korrekt im code hast, hast du damit keine probleme.
__________________
INFO: Erst suchen, dann posten! | MANUAL(s): PHP | MySQL | HTML/JS/CSS | NICE: GNOME Do | TESTS: Gästebuch | IM: Jabber.org |


Mit Zitat antworten
  #5 (permalink)  
Alt 06-09-2003, 18:59
TobiaZ
  Moderator
Links : Onlinestatus : TobiaZ ist offline
Registriert seit: Jan 2001
Ort: MUC und MGL, Germany
Beiträge: 34.421
Blog-Einträge: 1
TobiaZ befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Nein, nein! Ich wollte fragen, ob man da direkt ne Abfrage ausführen kann, nennt sich glaub ich injection, so das der User meine Tabellen löschen kann, oder Datensätze löschen kann!!!!!
wie soll er das machen, wenn die abfrage mit select startetst?

Aber addslashes, etc solltest du auch nehmen, wie schon gesagt!
__________________
ERST LESEN: Unsere Regeln. | Ich hab schon Pferde kotzen sehn!

READ THIS: Strings richtig trennen/verbinden | JOINs, das leidige Thema | Wegwerf E-Mail Adressen

Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!

Geändert von TobiaZ (06-09-2003 um 19:21 Uhr)
Mit Zitat antworten
  #6 (permalink)  
Alt 06-09-2003, 19:20
unifire
 Newbie
Links : Onlinestatus : unifire ist offline
Registriert seit: Aug 2003
Beiträge: 4
unifire ist zur Zeit noch ein unbeschriebenes Blatt
Standard

[ Bullshit zurückgezogen ]

War wohl eine Überreaktion.

Geändert von unifire (06-09-2003 um 21:13 Uhr)
Mit Zitat antworten
  #7 (permalink)  
Alt 06-09-2003, 19:30
TobiaZ
  Moderator
Links : Onlinestatus : TobiaZ ist offline
Registriert seit: Jan 2001
Ort: MUC und MGL, Germany
Beiträge: 34.421
Blog-Einträge: 1
TobiaZ befindet sich auf einem aufstrebenden Ast
Standard

OffTopic:
Tja, andi, es hindert dich niemand daran es besser zu machen. Aber außer diesem Post und dummen Fragen hast DU noch nichts geleistet...

Ich wüsste nicht, was falsch daran ist, wenn ich den Usern zeige, wie sie selbst an die Lösung kommen. Und nur, weil ich nicht einsehe jedem Noob den fertigen Code in die Hand zu drücken, sind meine Beiträge noch lange kein Bullshit. Da doch eher deine Beiträge, die locker durch studieren des Manuals zu lösen sind.
__________________
ERST LESEN: Unsere Regeln. | Ich hab schon Pferde kotzen sehn!

READ THIS: Strings richtig trennen/verbinden | JOINs, das leidige Thema | Wegwerf E-Mail Adressen

Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
Mit Zitat antworten
  #8 (permalink)  
Alt 06-09-2003, 19:32
Moqui
 Master
Links : Onlinestatus : Moqui ist offline
Registriert seit: Jun 2002
Ort: Nehren, BW
Beiträge: 854
Moqui ist zur Zeit noch ein unbeschriebenes Blatt
Standard

@unifire

wo ist der nonsense?

er hat doch gesagt, dass es nicht geht per MySQL.

Wenn dann musst du per php das statement rausfiltern und ein extra query machen.

btw: so würd ichs machen... aber deine Sache
__________________
tata
moqui

Ich will keine unaufgeforderten Mails über PHP Fragen. Es gibt ein Forum hier! Und ich bin nicht Scripter für jeden, der mir ne Mail schreibt!

Geändert von Moqui (06-09-2003 um 19:36 Uhr)
Mit Zitat antworten
  #9 (permalink)  
Alt 06-09-2003, 20:50
pekka
 PHP Master
Links : Onlinestatus : pekka ist offline
Registriert seit: Jun 2001
Ort: Köln
Beiträge: 6.608
pekka befindet sich auf einem aufstrebenden Ast
Standard

@unifire: Der einzige Bullshit, den ich hier sehe, kommt von dir.

@extreme: Guck dir die erwähnten slashes-Funktionen im php-Manual an, die sind genau aus dem Grund, den Du ansprichst, entstanden. Und füge Variablen innerhalb von SQL-Anweisungen immer in Anführungszeichen ein (das ist mit "sauber" gemeint). Dann passt das.

Geändert von pekka (06-09-2003 um 20:55 Uhr)
Mit Zitat antworten
  #10 (permalink)  
Alt 06-09-2003, 21:41
extreme
 Newbie
Links : Onlinestatus : extreme ist offline
Registriert seit: May 2001
Beiträge: 27
extreme ist zur Zeit noch ein unbeschriebenes Blatt
extreme eine Nachricht über ICQ schicken
Standard

Vielen Dank für die Hilfe, habs hinbekommen, ich bin nicht unbedingt der programmierdummie, aber mir fielen da keine funktionen in php ein!!1

Anregungen sind auch besser als fertiger Code-.Da lernt man, alle anderen sind faul!!!
__________________
www.php-tutorials.de
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

Projektmanagement Damals und Heute
Projektmanagement Damals und HeuteWerfen Sie einen Blick auf das, was sich verändert hat, und entdecken Sie, wo die Zukunft dieses Gebietes hinsteuert.

18.01.2021 | Berni

Arbeitsmanagement-Tools
Arbeitsmanagement-ToolsWarum jedes Team Arbeitsmanagement-Tools benötigt. Man schätzt, dass 25% eines durchschnittlichen Mitarbeiter-Tages durch ineffiziente Arbeit vergeudet werden.

11.12.2020 | Berni


 

Aktuelle PHP Scripte

PHP Newsletter Script SuperWebMailer ansehen PHP Newsletter Script SuperWebMailer

Die webbasierte PHP Newsletter Software SuperWebMailer ist die optimale Lösung zur Durchführung eines erfolgreichen E-Mail-Marketings. Zur Nutzung des PHP Script-Pakets ist eine eigene Webpräsenz/Server mit PHP 5 oder neuer, MySQL 4 oder neuer und die

29.04.2021 mirko_swm | Kategorie: PHP/ Mail
OXID eShop

Mit OXID eshop bieten wir Ihnen eine modulare und skalierbare Internet Shopping Software mit einem hervorragenden Preis-/Leistungsverhältnis.

29.04.2021 eric.jankowfsky@ | Kategorie: PHP/ Shops
PHP-Login

Die Aufgabenstellung bestand darin, ein einfaches Login-Script zu erstellen, dass schnell und universell auf jeder Webseiten eingebaut werden kann. Der Schwerpunkt lag dabei auf der Entwicklung eines universell einsetzbarem Modul für den Login und zur

05.04.2021 Wallhalla | Kategorie: PHP/ Kundenverwaltung
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 01:05 Uhr.