SQL-Injections abfangen

Einklappen
X
Einklappen
 
  • Seite von 5
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 2 3 4 5 template Weiter
  • #46
    Original geschrieben von goth
    in Wirklichkeit würdest Du heulend auf Knien vor mir liegen wenn ich Dich erhören würde ...
    OffTopic:
    Was rauchst Du eigentlich immer, wenn Du sowas schreibst?

    Kommentar

    • #47
      Puhhh ... das war aber ein schwacher Kommentar ... sollte ich dich also doch noch überschätzt haben ... ?!

      Du bist ja noch elender als ich angenommen habe ... !
      carpe noctem

      [color=blue]Bitte keine Fragen per EMail ... im Forum haben alle was davon ... und ich beantworte EMail-Fragen von Foren-Mitgliedern in der Regel eh nicht![/color]
      [color=red]Hinweis: Ich bin weder Mitglied noch Angestellter von ebiz-consult! Alles was ich hier von mir gebe tue ich in eigener Verantwortung![/color]

      Kommentar

      • #48
        Warum wird hier eigentlich gestritten wer die besseren Befehle zum Escapen kennt...

        Da ist man mal 2 Tage nich da und dann sowas...

        Zu magic_quotes:
        Wer das wirklich benutzen will und nicht der Herr seines eigenen
        Root-servers ist sollte mal seine php-version checken und dann
        auf diese ihm anscheinend unbekannte URL (www.php.net) gehen
        und sich die known-bugs der version reinziehen....

        Ergo: magic_quotes ist pfui!

        Auch wenn man (wie der (v)fogel) ein tolles CMS gecoded (oder sich jenes aus tutorials zusammenkopiert) hat, sollte man sich gerade bei php nicht überschätzen. Denn man ist nicht automatisch der "alleskönner" nur weil man das Manual auswendig kennt oder stets zur Hand hat...

        Resumee: Die Erfahrung machts!

        Also net streiten, sachlich bleiben und jenen fool verwenden lassen was er will...

        Peacen!

        OffTopic:
        Übrigens fand ich das echt nett das ich ne Mail vom Forum zum Geburtstag bekommen habe :-)
        [font=verdana] '][' .... düdeldüdel dü

        Gruss Socket
        -----
        Nein, ich programmiere kein Clan-Script für Dich, nein, auch nicht wenn Deine Schwester gut aussieht!
        [color=darkblue]
        Socket Funktionen[/color]        [/font]

        Kommentar

        • #49
          Original geschrieben von goth
          Puhhh ... das war aber ein schwacher Kommentar ...
          Das liegt daran, daß Du Baumschüler immer noch nicht lesen kannst. Deine Argumentation war genau an dieser Stelle erledigt:
          Zitat: "Original geschrieben von goth
          Beide Funktionen sind letztlich Wrapper für die MySQL-Client-Library-Originale ... "
          Zitat Meikel: "Na und? Adelt das die beiden Funktionen bis in alle Ewigkeiten?"
          Laß Dir das gelegentlich mal von einem, der schreiben und lesen kann, erklären. Wenn Du Knete brauchst, um den bezahlen zu können, würde ich Dir das ggf. auch borgen.
          sollte ich dich also doch noch überschätzt haben ... ?!
          Laß Dir einfach das Organ oberhalb des Kleinhirns, mit dem *Du* in der Lage wärst, *mich* einschätzen zu können, mal implantieren.
          Du bist ja noch elender als ich angenommen habe ... !
          Wenn Du genauso programmierst, wie "annimmst", bist Du ganz sicher eine Bereicherung für jeden Bugsammler.

          Kommentar

          • #50
            Original geschrieben von socket_shock
            Zu magic_quotes:
            Wer das wirklich benutzen will und nicht der Herr seines eigenen
            Root-servers ist sollte mal seine php-version checken und dann
            auf diese ihm anscheinend unbekannte URL (www.php.net) gehen
            und sich die known-bugs der version reinziehen....

            Ergo: magic_quotes ist pfui!
            Etwas falsch. Magic_quotes helfen genau dann, wenn man den String *nicht* in ein Query packen möchte.
            Falls Query und magic_quotes_gpc = 1, sieht die Mindestvoraussetzung so aus:
            PHP-Code:
            $string mysql_escape_string (strip_slashes($string)); 
            Ich selber gehe auf Nummer Sicher und überprüfe den String trotzdem noch auf Zeichen < chr(32) != "\n" ... "\r" ... "\t".
            Im Gegensatz zum "goth father" kriege ich Magendrücken, wenn in einer Stringvariablen, deren String als String an MySQL weitergereicht wird, auf einmal binäre Daten "angeschwommen kommen". Wie der MySQL Client auf 0x00 u/o 0x04 regiert, würde ich dann lieber erst mal an den "Viechern" ausprobieren (wenn ich Zeit hätte).

            Wer binäre Daten in DBs reinpackt, sollte sich vorher erst das durchlesen:
            16.3. Ist es sinnvoll, Bilder in einer Datenbank abzulegen?
            http://www.dclp-faq.de/q/q-db-blob.html

            Ist er immer noch der Meinung, es müssen sein, dann sollte er (meiner "bescheidenen" Meinung nach) den binären Kram erst nach ASCII konvertieren und dann in die Datenbank stopfen. Dann gibt es wenigstens beim nächsten Backup mit den üblichen Mitteln keine Überraschungen mehr.
            Zuletzt geändert von meikel; 02.04.2004, 23:46.

            Kommentar

            • #51
              Uhuhuh.... Du wirst ja immer armseliger ... ja ... ich habe Dich wohl überschätzt .... !

              Original geschrieben von meikel
              Im Gegensatz zum "goth father" kriege ich Magendrücken, wenn in einer Stringvariablen, deren String als String an MySQL weitergereicht wird, auf einmal binäre Daten "angeschwommen kommen". Wie der MySQL Client auf 0x00 u/o 0x04 regiert, würde ich dann lieber erst mal an den "Viechern" ausprobieren (wenn ich Zeit hätte).
              Letztlich kannst Du prüfen soviel Du willst ... allein stellt sich die Frage nach dem Sinn, wenn's bereits 'ne Funktionalität gibt die genau dafür geschaffen wurde ... und die letztlich millionenfach getestet wird/wurde ..

              ... es bleibt Dir von meinetwegen auch vollkommen unbenommen den QueryString "zur Sicherheit" nochmals zu parsen ... oder eine eigene Wrapper Schnittstelle zur MySQL zu schreiben ... oder auch irgendeinen Unsinn der Dir zudem noch einfällt ... wie gesagt ... allein es fehlt der Sinn ... !

              ... ich persönlich verlasse mich dann doch lieber auf sowas, als auf eine Funktion(nalität) die von so einem Sabersack wie Dir entwickelt wird ...

              Wobei Dich eben die Aussage "Wie der MySQL Client auf 0x00 u/o 0x04 regiert, würde ich dann lieber erst mal an den "Viechern" ausprobieren (wenn ich Zeit hätte)." disqualifizert eine solche zu treffen ... da gerade für Binärdaten diese Funktion überall auf der Welt (und auch bei mir) seit Jahren getestet und problemlos im Einsatz ist ... scheinbar sehr wenig Ahnung Sir ... !

              PS.: Normalerweise solltest Du eigentlich auf 'ner globalen Ignorelist landen ... allerdings wäre das echt traurig, da einem meistens die größten Nieten hier den größten Spaß bereiten ... danke also im voraus für Deine nächsten Postings ... !
              Zuletzt geändert von goth; 03.04.2004, 14:11.
              carpe noctem

              [color=blue]Bitte keine Fragen per EMail ... im Forum haben alle was davon ... und ich beantworte EMail-Fragen von Foren-Mitgliedern in der Regel eh nicht![/color]
              [color=red]Hinweis: Ich bin weder Mitglied noch Angestellter von ebiz-consult! Alles was ich hier von mir gebe tue ich in eigener Verantwortung![/color]

              Kommentar

              • #52
                Original geschrieben von goth
                Uhuhuh.... Du wirst ja immer armseliger ... ja ... ich habe Dich wohl überschätzt .... !
                OffTopic:
                Das hatten wir ja schon mal. Gehen Dir die Vokabeln aus oder hängt Dein Script endlos in der Endlosschleife?

                danke also im voraus für Deine nächsten Postings ... !
                OffTopic:
                Danke gleichfalls. Wo trittst Du sonst noch auf und unter welchem Namen? Mußt Du vorher gefüttert werden oder funktionierst Du schon automatisch?

                Kommentar

                • #53
                  Wie ... nur zwei Sätze hast Du verstanden ... dummer Junge ... ?!
                  Zuletzt geändert von goth; 03.04.2004, 14:42.
                  carpe noctem

                  [color=blue]Bitte keine Fragen per EMail ... im Forum haben alle was davon ... und ich beantworte EMail-Fragen von Foren-Mitgliedern in der Regel eh nicht![/color]
                  [color=red]Hinweis: Ich bin weder Mitglied noch Angestellter von ebiz-consult! Alles was ich hier von mir gebe tue ich in eigener Verantwortung![/color]

                  Kommentar

                  • #54
                    Original geschrieben von goth
                    Wie ... nur zwei Sätze hast Du verstanden ... ?!
                    OffTopic:
                    Warum sollte ich Dir das, was Du nicht verstanden hast, noch mal erklären? Du mußt Dich damit begnügen, daß ich Dich ein wenig füttere.

                    Kommentar

                    • #55
                      *ROTFL* ... Gott bist Du lustig ... !
                      carpe noctem

                      [color=blue]Bitte keine Fragen per EMail ... im Forum haben alle was davon ... und ich beantworte EMail-Fragen von Foren-Mitgliedern in der Regel eh nicht![/color]
                      [color=red]Hinweis: Ich bin weder Mitglied noch Angestellter von ebiz-consult! Alles was ich hier von mir gebe tue ich in eigener Verantwortung![/color]

                      Kommentar

                      • #56
                        Original geschrieben von meikel
                        Etwas falsch. Magic_quotes helfen genau dann, wenn man den String *nicht* in ein Query packen möchte.
                        und wobei bitte "helfen" sie dann?
                        I don't believe in rebirth. Actually, I never did in my whole lives.

                        Kommentar

                        • #57
                          Original geschrieben von wahsaga
                          und wobei bitte "helfen" sie dann?
                          Wenn man keinen MySQL Client hat, nutzt das wenigstens "für's Grobe". Jut, man könnte PHP mit Oracle und MySQL bauen, um mysql_escape_string() nutzen zu können... Wer das nutzt, hat eh "RAM satt"...

                          Kommentar

                          • #58
                            Oh Herr schmeiß Hirn vom Himmel ... geht der Unsinn denn immernoch weiter ... hast Du noch immer nicht genug Schwachsinn verzapft .... ?!
                            carpe noctem

                            [color=blue]Bitte keine Fragen per EMail ... im Forum haben alle was davon ... und ich beantworte EMail-Fragen von Foren-Mitgliedern in der Regel eh nicht![/color]
                            [color=red]Hinweis: Ich bin weder Mitglied noch Angestellter von ebiz-consult! Alles was ich hier von mir gebe tue ich in eigener Verantwortung![/color]

                            Kommentar

                            • #59
                              Original geschrieben von goth
                              Oh Herr schmeiß Hirn vom Himmel ...
                              Er traf Dich damals nicht - warum sollte er Dich heute damit treffen?

                              Schon mal ins Handbuch geguckt? Oder kennst Du nur MySQL...?
                              Zuletzt geändert von meikel; 03.04.2004, 20:05.

                              Kommentar

                              • #60
                                fight fight fight rar rar rar

                                Kommentar

                                Vorherige 1 2 3 4 5 template Weiter
                                Lädt...
                                X