Meine ersten PHP-Versuche

**Griecherus** · 13.02.2007, 13:38

Ich habe den Code stellenweise nur überflogen... hier mal ein paar Ratschläge:

Meiner Meinung nach ist es sauberer, bspw. IDs, die übergeben werden, nach integer zu casten.

PHP-Code:


// bspw.

$id = (int)$_GET['id'];

Beschäftige dich mal mit dem Thema SQL-Injection und schaue dir im Manual mal die Funktionsbeschreiung zu mysql_real_escape_string() an.

Generell sollte man SELECT * vermeiden, besonders wenn man es aus Gemütlichkeit macht und nicht alle Spalten benötigt werden, da man so Performance einbüßt. Mehr dazu hier.

EDIT:
Deine Funktion checklogin() hat nur den Rückgabewert true, wenn das übergebene Passwort mit dem aus der Datenbank übereinstimmt. Ist das nicht der Fall, wird gar nichts zurück gegeben. Das solltest du ändern.

**christian000** · 13.02.2007, 14:20

Die Verwendung von mysql_real_escape_string() bei jeder Variablen beugt SQL Injection Angriffen vor. Das Beispiel demonstriert ein optimales Verfahren für Datenbankanfragen, das unabhängig vom für Magic Quotes gesetzten Wert funktioniert.

Oder habe ich da was falsch verstanden ?
die funktion setz vor jeden ' und " ein \ um es zu escapen ?

**Griecherus** · 13.02.2007, 14:30

Richtig, mysql_real_escape_string() sorgt dafür, dass gefährliche Zeichen maskiert werden. Ein kurzes Beispiel:

PHP-Code:


$q = "SELECT *

    FROM users

    WHERE username = '$username'

        AND password = '$password'";

$r = mysql_query($q);

Nach Eingabe von ' OR 1=1 würde der Query-String so aussehen:

Code:

SELECT *
FROM users
WHERE username = 'batman'
    AND password = '' OR 1=1;

Das ist natürlich nur ein Beispiel.

**christian000** · 13.02.2007, 15:10

das wiederrum heist doch dass statt

PHP-Code:


$q = "SELECT *

    FROM users

    WHERE username = '$username'

        AND password = '$password'";

$r = mysql_query($q);

PHP-Code:


$q = "SELECT *

    FROM users

    WHERE username = 'mysql_real_escape_string($username)'

        AND password = 'mysql_real_escape_string($password)'";

$r = mysql_query($q);

**Damian1984** · 13.02.2007, 15:21

wenn dann:

PHP-Code:


"SELECT *

    FROM users

    WHERE username = '".mysql_real_escape_string($username)."'

        AND password = '".mysql_real_escape_string($password)."'"

**christian000** · 13.02.2007, 15:49

mein ich ja LoL
hab ich doch so ?

**schlattm** · 13.02.2007, 16:29

Nach Eingabe von ' OR 1=1 würde der Query-String so aussehen:

Code:

SELECT *
FROM users
WHERE username = 'batman'
    AND password = '' OR 1=1;

Das ist natürlich nur ein Beispiel. [/B]

da $password vorher meist in md5 gehasht wird, funktioniert dies nur sehr selten!

oder lieg ich da falsch?

**wahsaga** · 13.02.2007, 17:03

Original geschrieben von schlattm
da $password vorher meist in md5 gehasht wird, funktioniert dies nur sehr selten!

Du möchtest dir überlegen, in welchen Fällen eine Bedingung

Code:

password = '' OR 1=1

wahr ergibt.

**Damian1984** · 13.02.2007, 17:07

Original geschrieben von christian000
mein ich ja LoL
hab ich doch so ?

na, das sind 2 unterschiedliche Dinge

**christian000** · 13.02.2007, 19:00

ich mein in meinem script habe ich es so ?

**Griecherus** · 13.02.2007, 19:14

@schlattm: Es geht mir nicht darum, ein funktionierendes SQL-Injection Beispiel zu geben, sondern klar zu machen, was eine SQL-Injection ist und wie eine solche zustande kommen kann.

Meine ersten PHP-Versuche