php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #31 (permalink)  
Alt 11-05-2009, 17:47
asp2php
 Banned
Links : Onlinestatus : asp2php ist offline
Registriert seit: Feb 2004
Beiträge: 11.745
asp2php ist zur Zeit noch ein unbeschriebenes Blatt
Cool

Mag sein ... was man argumentieren kann, kann ich schon lange ... also, wenn man davon ausgeht, dass md5() in Zukunf sich in irgendwas sonst entartet, dann kann ich genauso sagen, dass man bei mysql_real_escape_string() genauso erwarten kann ... irgendwo muss man schon darauf vertrauen können, dass die Leute, die sowas entwickelt, keine Idioten sind, ansonstens kannste alles vergessen und dein Software in die Mülltone treten.
Mit Zitat antworten
  #32 (permalink)  
Alt 11-05-2009, 18:31
wahsaga
  Moderator
Links : Onlinestatus : wahsaga ist offline
Registriert seit: Sep 2001
Beiträge: 25.236
wahsaga befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von asp2php Beitrag anzeigen
Mag sein ... was man argumentieren kann, kann ich schon lange ... also, wenn man davon ausgeht, dass md5() in Zukunf sich in irgendwas sonst entartet, dann kann ich genauso sagen, dass man bei mysql_real_escape_string() genauso erwarten kann ... irgendwo muss man schon darauf vertrauen können, dass die Leute, die sowas entwickelt, keine Idioten sind, ansonstens kannste alles vergessen und dein Software in die Mülltone treten.
Du hast das Argument nicht ganz verstanden.
mysql_real_esacpe_string macht immer das, was seine Aufgabe erfordert - Sonderzeichen maskieren, so dass sie keinen Schaden anrichten. Wenn da bei MySQL irgendwann Zeichen hinzukommen sollten, wird eine der neuen API angepasste Version von mysql_real_escape_string das auch handeln, da muss ich mir keine Sorgen machen.

Aber MD5 ist vielleicht zukünftig nicht mehr das, was ich will, und SHA1 wird vielleicht auch zu "schwach" - es wird also eine neue Hashfunktion zum Einsatz kommen, deren Ergebnis vielleicht auch Zeichen enthält, die für MySQL Sonderzeichen sind. Habe ich das mysql_real_escape_string an dieser Stelle schon präventiv drinstehen, muss ich daran keinen einzigen Gedanken mehr verschwenden, ich tausche MD5() durch NEUEHASHFUNKTION() aus, und gut is'. Habe ich es da hingegen noch nicht drin stehen, muss ich erst mal überlegen, ob die neue Hashfunktion eine Behandlung erfordert. Oder schlimmer noch, ich vergesse diese Überlegung - denn Projektanpassungen müssen ja immer "schnell" gehen - und vergesse auch ein evtl. notwendig gewordenes mysql_real_escape_string hinzuzufügen. Und dann habe ich plötzlich ein neues Loch in meiner Applikation - und das ist perverserweise bei dem Versuch entstanden, dass ganze sicherer zu machen (Austausch der alten, schwachen Hashfunktion durch eine neue, "bessere".)
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
Mit Zitat antworten
  #33 (permalink)  
Alt 11-05-2009, 18:47
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Ich kann den Gedanken nachvollziehen, finde ihn aber voll daneben!

"Herr vergib ihnen, denn sie wissen nicht was sie tun!"
__________________
Wir werden alle sterben
Mit Zitat antworten
  #34 (permalink)  
Alt 11-05-2009, 18:52
asp2php
 Banned
Links : Onlinestatus : asp2php ist offline
Registriert seit: Feb 2004
Beiträge: 11.745
asp2php ist zur Zeit noch ein unbeschriebenes Blatt
Talking

Zitat:
Zitat von wahsaga Beitrag anzeigen
Du hast das Argument nicht ganz verstanden.
mysql_real_esacpe_string macht immer das, was seine Aufgabe erfordert - Sonderzeichen maskieren, so dass sie keinen Schaden anrichten. Wenn da bei MySQL irgendwann Zeichen hinzukommen sollten, wird eine der neuen API angepasste Version von mysql_real_escape_string das auch handeln, da muss ich mir keine Sorgen machen.

Aber MD5 ist vielleicht zukünftig nicht mehr das, was ich will, und SHA1 wird vielleicht auch zu "schwach" - es wird also eine neue Hashfunktion zum Einsatz kommen, deren Ergebnis vielleicht auch Zeichen enthält, die für MySQL Sonderzeichen sind. Habe ich das mysql_real_escape_string an dieser Stelle schon präventiv drinstehen, muss ich daran keinen einzigen Gedanken mehr verschwenden, ich tausche MD5() durch NEUEHASHFUNKTION() aus, und gut is'. Habe ich es da hingegen noch nicht drin stehen, muss ich erst mal überlegen, ob die neue Hashfunktion eine Behandlung erfordert. Oder schlimmer noch, ich vergesse diese Überlegung - denn Projektanpassungen müssen ja immer "schnell" gehen - und vergesse auch ein evtl. notwendig gewordenes mysql_real_escape_string hinzuzufügen. Und dann habe ich plötzlich ein neues Loch in meiner Applikation - und das ist perverserweise bei dem Versuch entstanden, dass ganze sicherer zu machen (Austausch der alten, schwachen Hashfunktion durch eine neue, "bessere".)
OK, schön ... aber Ausgang unsere Diskussion war ...

PHP-Code:
AND password'".md5 (mysql_escape_string($pwd))."'" 
und daher war ich nicht einverstanden. Wenn man mysql_real_escape_string(md5($value)) anwendet, dann wäre dein Argument gefestigter und ich wäre auch zufriedener
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

Die RIGID-FLEX-Technologie
Die RIGID-FLEX-TechnologieDie sogenannte "Flexible Elektronik" , oftmals auch als "Flexible Schaltungen" bezeichnet, ist eine zeitgemäße Technologie zum Montieren von elektronischen Schaltungen.

06.12.2018 | Berni

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni


 

Aktuelle PHP Scripte

kostenloser PHP-Editor Codelobster ansehen kostenloser PHP-Editor Codelobster

Kostenloser PHP, HTML, CSS, JavaScript editor (IDE) - Codelobster PHP Edition

13.03.2019 Berni | Kategorie: PHP ENTWICKLUNGSUMGEBUNG
Lazy Load Plugin für jQuery

Das Lazyload Plugin, lädt Bilder nach, wenn sie im Viewport sichtbar werden.

10.03.2019 phpler | Kategorie: JQUERY-PLUGINS
WeltExplorer v1.0

WeltExplorer v1.0 ist ein Dateimanager zum Browsen und Operieren im Dateisystem. Bei installiertem cURL können Ordner und Dateien zu entfernten FTP-Servern hochgeladen bzw. von diesen heruntergeladen werden, etwa zum Erstellen von Backups oder Mirrorsites

06.02.2019 weltvolk | Kategorie: PHP/ File
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 16:13 Uhr.