php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 19-12-2005, 12:10
Body3000
 Newbie
Links : Onlinestatus : Body3000 ist offline
Registriert seit: Dec 2005
Beiträge: 3
Body3000 ist zur Zeit noch ein unbeschriebenes Blatt
Standard [Variablen] sichere Parameterübergabe

Hallo zusammen,

ich beabsichtige eine SQL-Anweisung als Variable zu übergeben. Die Anweisung soll allerdings von keinem User verändert werden und sicher übertragen werden. Welche Möglichkeiten stehen da zur Verfügung?

Grüße

Boris
Mit Zitat antworten
  #2 (permalink)  
Alt 19-12-2005, 12:19
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard

Wenn die Query zum User und von dort wieder zu dir geht, kannst du nie von Sicherheit sprechen. Allerdings muß das ja nicht sein. Speicher die Query in einer Session!
Mit Zitat antworten
  #3 (permalink)  
Alt 19-12-2005, 12:27
php_jan
 Newbie
Links : Onlinestatus : php_jan ist offline
Registriert seit: Oct 2005
Beiträge: 41
php_jan ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Eine SQL-Anweisung mit dem Query-String zu übergeben, halte ich für sehr gefährlich! Dies kann auf jeden Fall manipuliert werden. Es gibt auch keine Möglichkeit, dies zu verhindern. Ein bösartiger User kann einen Request beliebig verändern. Wenn er z.B. mit Ethereal den Request "mitschneidet" wird er bestimmt hellhörig, wenn ein SQL-Statement überliefert wird.

Neben der Session könntest du auch die Anweisung selbst in die Datenbank schreiben. Aber wofür benötigst du dies? Vielleicht kann man das komplett übergehen...
__________________
Ich möchte ein Tutorial über ein dynamisches Rechtemanagement-System schreiben (mit Rechtevererbung). Suche nach Freiwilligen! -> php_jan@freenet.de
Mit Zitat antworten
  #4 (permalink)  
Alt 19-12-2005, 12:37
jahlives
 Master
Links : Onlinestatus : jahlives ist offline
Registriert seit: Jun 2004
Ort: Hooker in Kernel
Beiträge: 8.279
jahlives ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Du verwendest Sessions ?
Warum denn nicht den Query in eine Session Var speichern à la
PHP-Code:
$_SESSION['query'] = 'order by name desc'
Danach hängst du die Session an deine DB Query an et voilà.
Du kannst es auch per URL machen, dann aber am besten mit einem Switch Statement zur Prüfung
PHP-Code:
switch($_GET['query']){
    case 
'order by name desc':
    
//Code den du dann ausführst
    
break;
    case 
'order by name asc':
    
//Code den du dann ausführst
    
break;
    default:
    die(
'Die Variable zu verändern gilt nicht');

Du musst einfach sicherstellen, dass du mit den Cases alle erlaubten Möglichkeiten der Query abfrägst und als Default einen Fehler wirfst.

Gruss

tobi
__________________
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)
Mit Zitat antworten
  #5 (permalink)  
Alt 19-12-2005, 14:14
Body3000
 Newbie
Links : Onlinestatus : Body3000 ist offline
Registriert seit: Dec 2005
Beiträge: 3
Body3000 ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Vielen Dank Tobi,

ich denke diese Lösung ist die Beste :-)

Den anderen auch nochmals vielen Dank für die schnelle Hilfebereitschaft!

Grüße


Boris
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

Die RIGID-FLEX-Technologie
Die RIGID-FLEX-TechnologieDie sogenannte "Flexible Elektronik" , oftmals auch als "Flexible Schaltungen" bezeichnet, ist eine zeitgemäße Technologie zum Montieren von elektronischen Schaltungen.

06.12.2018 | Berni

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni


 

Aktuelle PHP Scripte

WYSIWYG Editor

WYSIWYG Editor zum Einbinden in PHP Scripte.

21.10.2019 Stephan_1972 | Kategorie: PHP/ WYSIWYG
Newsmanager

Der Newsmanager ist ein Newssystem und Newsletter in einem. Mit WYSIWYG Editor und E-Mail import aus einer bestehenden MySql Datenbank sowie dynamische Kategorien / Themen Filter.

11.09.2019 Stephan_1972 | Kategorie: PHP/ News
Modelmanager

Der Modelmanager ist ein Webtool für Fotografen, kann als komplette Homepage oder als Webtool installiert werden.

11.09.2019 Stephan_1972 | Kategorie: PHP/ Webservice
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 06:44 Uhr.