php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 06-09-2003, 14:30
extreme
 Newbie
Links : Onlinestatus : extreme ist offline
Registriert seit: May 2001
Beiträge: 27
extreme ist zur Zeit noch ein unbeschriebenes Blatt
extreme eine Nachricht über ICQ schicken
Standard Suche in PHP-es geht um Sicherheit

Hallo,

Also ich habe eine Suche mit PHP gebastelt, jetzt wollte ich fragen, ob es möglich wäre, dass ein user ins Formularfeld(Suchbegriff) einfach eine Abfrage reinschreibt, bsp. DELETE FROM tabelle WHERE usw..

Die Suche wird per SELECT gestartet, bsp. :SELECT * FROM tabelle WHERE keyword OR beschreibung LIKE'%$suchbegriff%';

Wenn jetzt als Suchbegriff die DELETE-Abfrage steht, ist es dann möglich das MySQL diese tatsächlich ausführt??? oder wenn der user jetzt DROP table reinschreibt?
__________________
www.php-tutorials.de
Mit Zitat antworten
  #2 (permalink)  
Alt 06-09-2003, 14:35
mrhappiness
 PHP Guru
Links : Onlinestatus : mrhappiness ist offline
Registriert seit: Oct 2002
Beiträge: 14.890
mrhappiness ist zur Zeit noch ein unbeschriebenes Blatt
mrhappiness eine Nachricht über AIM schicken mrhappiness eine Nachricht über Yahoo! schicken
Standard

es kann dir ja auch niemand verbeten einen datensatz anzulegen in dem DROP TABLE drinsteht, also kannst du auch gefahrlos danach suchen
__________________
Ich denke, also bin ich. - Einige sind trotzdem...
Mit Zitat antworten
  #3 (permalink)  
Alt 06-09-2003, 15:55
extreme
 Newbie
Links : Onlinestatus : extreme ist offline
Registriert seit: May 2001
Beiträge: 27
extreme ist zur Zeit noch ein unbeschriebenes Blatt
extreme eine Nachricht über ICQ schicken
Standard

Nein, nein! Ich wollte fragen, ob man da direkt ne Abfrage ausführen kann, nennt sich glaub ich injection, so das der User meine Tabellen löschen kann, oder Datensätze löschen kann!!!!!

Geht sowas, wäre ziemlich gefährlich für meine zuk. Seite
__________________
www.php-tutorials.de
Mit Zitat antworten
  #4 (permalink)  
Alt 06-09-2003, 16:54
Abraxax
  THE REAL HAXE (Administrator)
Links : Onlinestatus : Abraxax ist offline
Registriert seit: Jul 2002
Ort: neuss.nrw.de
Beiträge: 22.623
Abraxax befindet sich auf einem aufstrebenden Ast
Standard

wenn du mit addslashes(), stripslashes() und htmlentities() arbeitest, und deine sql-queries korrekt im code hast, hast du damit keine probleme.
__________________
INFO: Erst suchen, dann posten! | MANUAL(s): PHP | MySQL | HTML/JS/CSS | NICE: GNOME Do | TESTS: Gästebuch | IM: Jabber.org |


Mit Zitat antworten
  #5 (permalink)  
Alt 06-09-2003, 18:59
TobiaZ
  Moderator
Links : Onlinestatus : TobiaZ ist offline
Registriert seit: Jan 2001
Ort: MUC und MGL, Germany
Beiträge: 34.421
Blog-Einträge: 1
TobiaZ befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Nein, nein! Ich wollte fragen, ob man da direkt ne Abfrage ausführen kann, nennt sich glaub ich injection, so das der User meine Tabellen löschen kann, oder Datensätze löschen kann!!!!!
wie soll er das machen, wenn die abfrage mit select startetst?

Aber addslashes, etc solltest du auch nehmen, wie schon gesagt!
__________________
ERST LESEN: Unsere Regeln. | Ich hab schon Pferde kotzen sehn!

READ THIS: Strings richtig trennen/verbinden | JOINs, das leidige Thema | Wegwerf E-Mail Adressen

Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!

Geändert von TobiaZ (06-09-2003 um 19:21 Uhr)
Mit Zitat antworten
  #6 (permalink)  
Alt 06-09-2003, 19:20
unifire
 Newbie
Links : Onlinestatus : unifire ist offline
Registriert seit: Aug 2003
Beiträge: 4
unifire ist zur Zeit noch ein unbeschriebenes Blatt
Standard

[ Bullshit zurückgezogen ]

War wohl eine Überreaktion.

Geändert von unifire (06-09-2003 um 21:13 Uhr)
Mit Zitat antworten
  #7 (permalink)  
Alt 06-09-2003, 19:30
TobiaZ
  Moderator
Links : Onlinestatus : TobiaZ ist offline
Registriert seit: Jan 2001
Ort: MUC und MGL, Germany
Beiträge: 34.421
Blog-Einträge: 1
TobiaZ befindet sich auf einem aufstrebenden Ast
Standard

OffTopic:
Tja, andi, es hindert dich niemand daran es besser zu machen. Aber außer diesem Post und dummen Fragen hast DU noch nichts geleistet...

Ich wüsste nicht, was falsch daran ist, wenn ich den Usern zeige, wie sie selbst an die Lösung kommen. Und nur, weil ich nicht einsehe jedem Noob den fertigen Code in die Hand zu drücken, sind meine Beiträge noch lange kein Bullshit. Da doch eher deine Beiträge, die locker durch studieren des Manuals zu lösen sind.
__________________
ERST LESEN: Unsere Regeln. | Ich hab schon Pferde kotzen sehn!

READ THIS: Strings richtig trennen/verbinden | JOINs, das leidige Thema | Wegwerf E-Mail Adressen

Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
Mit Zitat antworten
  #8 (permalink)  
Alt 06-09-2003, 19:32
Moqui
 Master
Links : Onlinestatus : Moqui ist offline
Registriert seit: Jun 2002
Ort: Nehren, BW
Beiträge: 854
Moqui ist zur Zeit noch ein unbeschriebenes Blatt
Standard

@unifire

wo ist der nonsense?

er hat doch gesagt, dass es nicht geht per MySQL.

Wenn dann musst du per php das statement rausfiltern und ein extra query machen.

btw: so würd ichs machen... aber deine Sache
__________________
tata
moqui

Ich will keine unaufgeforderten Mails über PHP Fragen. Es gibt ein Forum hier! Und ich bin nicht Scripter für jeden, der mir ne Mail schreibt!

Geändert von Moqui (06-09-2003 um 19:36 Uhr)
Mit Zitat antworten
  #9 (permalink)  
Alt 06-09-2003, 20:50
pekka
 PHP Master
Links : Onlinestatus : pekka ist offline
Registriert seit: Jun 2001
Ort: Köln
Beiträge: 6.608
pekka befindet sich auf einem aufstrebenden Ast
Standard

@unifire: Der einzige Bullshit, den ich hier sehe, kommt von dir.

@extreme: Guck dir die erwähnten slashes-Funktionen im php-Manual an, die sind genau aus dem Grund, den Du ansprichst, entstanden. Und füge Variablen innerhalb von SQL-Anweisungen immer in Anführungszeichen ein (das ist mit "sauber" gemeint). Dann passt das.

Geändert von pekka (06-09-2003 um 20:55 Uhr)
Mit Zitat antworten
  #10 (permalink)  
Alt 06-09-2003, 21:41
extreme
 Newbie
Links : Onlinestatus : extreme ist offline
Registriert seit: May 2001
Beiträge: 27
extreme ist zur Zeit noch ein unbeschriebenes Blatt
extreme eine Nachricht über ICQ schicken
Standard

Vielen Dank für die Hilfe, habs hinbekommen, ich bin nicht unbedingt der programmierdummie, aber mir fielen da keine funktionen in php ein!!1

Anregungen sind auch besser als fertiger Code-.Da lernt man, alle anderen sind faul!!!
__________________
www.php-tutorials.de
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

Projektmanagement Damals und Heute
Projektmanagement Damals und HeuteWerfen Sie einen Blick auf das, was sich verändert hat, und entdecken Sie, wo die Zukunft dieses Gebietes hinsteuert.

18.01.2021 | Berni

Arbeitsmanagement-Tools
Arbeitsmanagement-ToolsWarum jedes Team Arbeitsmanagement-Tools benötigt. Man schätzt, dass 25% eines durchschnittlichen Mitarbeiter-Tages durch ineffiziente Arbeit vergeudet werden.

11.12.2020 | Berni


 

Aktuelle PHP Scripte

Formmailer Bootstrap 4

Mit dem Formmailer kann man sich eMails über seine Seite zukommen lassen.

08.07.2021 arne-home | Kategorie: PHP/ Formular
Fehlerseite Bootstrap 4

Bei Aufruf einer nicht existierenden Seite, teilen Sie Besuchern mit einer eigenen Fehlerseite mit, dass die gewünschte Seite nicht gefunden wurde. Die eigene Fehlerseite sollte dasselbe Design wie die Website haben. Zudem sollte ein Link zur Startseite a

04.07.2021 arne-home | Kategorie: PHP/ Counter
Upload Bootstrap 4

Mit dem PHP - Uploadscript kann man schnell und einfach Bilder und Dateien auf den Webserver hochladen.

04.07.2021 arne-home | Kategorie: PHP/ File
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 15:41 Uhr.