php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 06-09-2003, 14:30
extreme
 Newbie
Links : Onlinestatus : extreme ist offline
Registriert seit: May 2001
Beiträge: 27
extreme ist zur Zeit noch ein unbeschriebenes Blatt
extreme eine Nachricht über ICQ schicken
Standard Suche in PHP-es geht um Sicherheit

Hallo,

Also ich habe eine Suche mit PHP gebastelt, jetzt wollte ich fragen, ob es möglich wäre, dass ein user ins Formularfeld(Suchbegriff) einfach eine Abfrage reinschreibt, bsp. DELETE FROM tabelle WHERE usw..

Die Suche wird per SELECT gestartet, bsp. :SELECT * FROM tabelle WHERE keyword OR beschreibung LIKE'%$suchbegriff%';

Wenn jetzt als Suchbegriff die DELETE-Abfrage steht, ist es dann möglich das MySQL diese tatsächlich ausführt??? oder wenn der user jetzt DROP table reinschreibt?
__________________
www.php-tutorials.de
Mit Zitat antworten
freelancermap.de - IT Projektvermittlung für Selbständige und Freiberufler
  #2 (permalink)  
Alt 06-09-2003, 14:35
mrhappiness
 PHP Guru
Links : Onlinestatus : mrhappiness ist offline
Registriert seit: Oct 2002
Beiträge: 14.890
mrhappiness ist zur Zeit noch ein unbeschriebenes Blatt
mrhappiness eine Nachricht über AIM schicken mrhappiness eine Nachricht über Yahoo! schicken
Standard

es kann dir ja auch niemand verbeten einen datensatz anzulegen in dem DROP TABLE drinsteht, also kannst du auch gefahrlos danach suchen
__________________
Ich denke, also bin ich. - Einige sind trotzdem...
Mit Zitat antworten
  #3 (permalink)  
Alt 06-09-2003, 15:55
extreme
 Newbie
Links : Onlinestatus : extreme ist offline
Registriert seit: May 2001
Beiträge: 27
extreme ist zur Zeit noch ein unbeschriebenes Blatt
extreme eine Nachricht über ICQ schicken
Standard

Nein, nein! Ich wollte fragen, ob man da direkt ne Abfrage ausführen kann, nennt sich glaub ich injection, so das der User meine Tabellen löschen kann, oder Datensätze löschen kann!!!!!

Geht sowas, wäre ziemlich gefährlich für meine zuk. Seite
__________________
www.php-tutorials.de
Mit Zitat antworten
  #4 (permalink)  
Alt 06-09-2003, 16:54
Abraxax
  THE REAL HAXE (Administrator)
Links : Onlinestatus : Abraxax ist offline
Registriert seit: Jul 2002
Ort: neuss.nrw.de
Beiträge: 22.623
Abraxax befindet sich auf einem aufstrebenden Ast
Standard

wenn du mit addslashes(), stripslashes() und htmlentities() arbeitest, und deine sql-queries korrekt im code hast, hast du damit keine probleme.
__________________
INFO: Erst suchen, dann posten! | MANUAL(s): PHP | MySQL | HTML/JS/CSS | NICE: GNOME Do | TESTS: Gästebuch | IM: Jabber.org |


Mit Zitat antworten
  #5 (permalink)  
Alt 06-09-2003, 18:59
TobiaZ
  Moderator
Links : Onlinestatus : TobiaZ ist offline
Registriert seit: Jan 2001
Ort: MUC und MGL, Germany
Beiträge: 34.421
Blog-Einträge: 1
TobiaZ befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Nein, nein! Ich wollte fragen, ob man da direkt ne Abfrage ausführen kann, nennt sich glaub ich injection, so das der User meine Tabellen löschen kann, oder Datensätze löschen kann!!!!!
wie soll er das machen, wenn die abfrage mit select startetst?

Aber addslashes, etc solltest du auch nehmen, wie schon gesagt!
__________________
ERST LESEN: Unsere Regeln. | Ich hab schon Pferde kotzen sehn!

READ THIS: Strings richtig trennen/verbinden | JOINs, das leidige Thema | Wegwerf E-Mail Adressen

Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!

Geändert von TobiaZ (06-09-2003 um 19:21 Uhr)
Mit Zitat antworten
  #6 (permalink)  
Alt 06-09-2003, 19:20
unifire
 Newbie
Links : Onlinestatus : unifire ist offline
Registriert seit: Aug 2003
Beiträge: 4
unifire ist zur Zeit noch ein unbeschriebenes Blatt
Standard

[ Bullshit zurückgezogen ]

War wohl eine Überreaktion.

Geändert von unifire (06-09-2003 um 21:13 Uhr)
Mit Zitat antworten
  #7 (permalink)  
Alt 06-09-2003, 19:30
TobiaZ
  Moderator
Links : Onlinestatus : TobiaZ ist offline
Registriert seit: Jan 2001
Ort: MUC und MGL, Germany
Beiträge: 34.421
Blog-Einträge: 1
TobiaZ befindet sich auf einem aufstrebenden Ast
Standard

OffTopic:
Tja, andi, es hindert dich niemand daran es besser zu machen. Aber außer diesem Post und dummen Fragen hast DU noch nichts geleistet...

Ich wüsste nicht, was falsch daran ist, wenn ich den Usern zeige, wie sie selbst an die Lösung kommen. Und nur, weil ich nicht einsehe jedem Noob den fertigen Code in die Hand zu drücken, sind meine Beiträge noch lange kein Bullshit. Da doch eher deine Beiträge, die locker durch studieren des Manuals zu lösen sind.
__________________
ERST LESEN: Unsere Regeln. | Ich hab schon Pferde kotzen sehn!

READ THIS: Strings richtig trennen/verbinden | JOINs, das leidige Thema | Wegwerf E-Mail Adressen

Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
Mit Zitat antworten
  #8 (permalink)  
Alt 06-09-2003, 19:32
Moqui
 Master
Links : Onlinestatus : Moqui ist offline
Registriert seit: Jun 2002
Ort: Nehren, BW
Beiträge: 854
Moqui ist zur Zeit noch ein unbeschriebenes Blatt
Standard

@unifire

wo ist der nonsense?

er hat doch gesagt, dass es nicht geht per MySQL.

Wenn dann musst du per php das statement rausfiltern und ein extra query machen.

btw: so würd ichs machen... aber deine Sache
__________________
tata
moqui

Ich will keine unaufgeforderten Mails über PHP Fragen. Es gibt ein Forum hier! Und ich bin nicht Scripter für jeden, der mir ne Mail schreibt!

Geändert von Moqui (06-09-2003 um 19:36 Uhr)
Mit Zitat antworten
  #9 (permalink)  
Alt 06-09-2003, 20:50
pekka
 PHP Master
Links : Onlinestatus : pekka ist offline
Registriert seit: Jun 2001
Ort: Köln
Beiträge: 6.608
pekka befindet sich auf einem aufstrebenden Ast
Standard

@unifire: Der einzige Bullshit, den ich hier sehe, kommt von dir.

@extreme: Guck dir die erwähnten slashes-Funktionen im php-Manual an, die sind genau aus dem Grund, den Du ansprichst, entstanden. Und füge Variablen innerhalb von SQL-Anweisungen immer in Anführungszeichen ein (das ist mit "sauber" gemeint). Dann passt das.

Geändert von pekka (06-09-2003 um 20:55 Uhr)
Mit Zitat antworten
  #10 (permalink)  
Alt 06-09-2003, 21:41
extreme
 Newbie
Links : Onlinestatus : extreme ist offline
Registriert seit: May 2001
Beiträge: 27
extreme ist zur Zeit noch ein unbeschriebenes Blatt
extreme eine Nachricht über ICQ schicken
Standard

Vielen Dank für die Hilfe, habs hinbekommen, ich bin nicht unbedingt der programmierdummie, aber mir fielen da keine funktionen in php ein!!1

Anregungen sind auch besser als fertiger Code-.Da lernt man, alle anderen sind faul!!!
__________________
www.php-tutorials.de
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

PHP Marktplatz-Software
PHP Marktplatz-SoftwareEs hat sich viel getan! Die neue Version 7.5.9 unserer PHP Marktplatz-Software ebiz-trader steht ab sofort zur Verfügung.

28.10.2019 | Berni

Die RIGID-FLEX-Technologie
Die RIGID-FLEX-TechnologieDie sogenannte "Flexible Elektronik" , oftmals auch als "Flexible Schaltungen" bezeichnet, ist eine zeitgemäße Technologie zum Montieren von elektronischen Schaltungen.

06.12.2018 | Berni


 

Aktuelle PHP Scripte

SMT

Server Monitoring & Management Tool Das SMT wurde von einem Administrator für Administratoren entwickelt, es vereinfacht den Alltag in der klassischen Administration und Verwaltung. Mit dem SMT kannst Du alle Deine Server & Dienste verwalten und überwach

04.09.2020 palle_1977 | Kategorie: PHP
numaeks Web-Farbmixer

Die RGB-Farben lassen sich hier auf unterschiedliche Weise mischen. Zur Einstellung werden auch die Dreh- und Schieberegler mit Canvas verwendet. Gespeichert werden die Farben in einem Cookie.

04.09.2020 numaek | Kategorie: JAVASCRIPT/ Tools
phplinX-Erotikportal 4 ansehen phplinX-Erotikportal 4

Erweiterbares Portal speziell für Erotik mit den Modulen Webkatalog, Bannermanagement und Kleinanzeigenmarkt. Sämtliche Module können über einen einzigen Adminbereich verwaltet werden.

18.06.2020 Cosinus14 | Kategorie: PHP/ Anzeigenmarkt
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 10:43 Uhr.