SQL-Injections abfangen

**MelloPie** · 03.01.2004, 17:11

eigentlich langt der gebrauch von gutem sql und mysql_escape_string() in php

**electr0n** · 03.01.2004, 19:31

Eine "ordentliche" PHP Konfiguration ist noch besser, einfach magic_quotes_gpc anschalten und schon brauch man sich (fast) keine Sorgen mehr machen, oder du "behandelst" die GPC-Daten per array_map() mit addslashes() oder mysql_escape_string()!

**itst** · 04.01.2004, 00:03

Keine Variablen benutzen, ohne sie vorher geprüft zu haben. is_numeric, intval etc sind Deine Freunde. Immer überprüfen, woher die Daten kommen. Wenn sie per Formular mittels POST kommen sollen, dann arbeite auch mit $_POST.

Eine weitere sehr schöne Hilfe ist mod_security. Das ist ein Apache-Modul, mit dem man recht einfach Regeln definieren kann, die verhindern, das überhaupt event. schädliche Inhalte übertragen werden. So kann man zum Beispiel definieren, das 'script' oder 'INSERT' oder 'DELETE' nicht in einer URL vorkommen dürfen.

**donMarco** · 04.01.2004, 12:39

Vielen Dank für die schnelle Hilfe.

**wahsaga** · 04.01.2004, 13:25

Original geschrieben von electr0n
Eine "ordentliche" PHP Konfiguration ist noch besser, einfach magic_quotes_gpc anschalten und schon brauch man sich (fast) keine Sorgen mehr machen

argh! das ist das gegenteil einer ordentlichen konfiguration!

leider lassen viele provider diese option aber trotzdem auf on, um noobs mit eben dieser denkweise wenigstens ein bisschen vor sich selbst schützen zu können ...

**afogel** · 13.01.2004, 18:25

schmarn...die Konfiguration ist nach den Infos die ich bisher erhalten habe gut. magic_quotes auf on hilft da schon ne menge

mfg afogel

**wahsaga** · 13.01.2004, 21:07

Original geschrieben von afogel
schmarn...die Konfiguration ist nach den Infos die ich bisher erhalten habe gut. magic_quotes auf on hilft da schon ne menge

ich sagte ja bereits, das ist die noob-denkweise ...

**keztrel** · 05.02.2004, 09:18

hi!

ähm.. ich bin auf dem gebiet auch noch ein noob, deshalb würd mich interessieren was gegen "magic_quotes" spricht. inwiefern könnte das zum problem werden

**wahsaga** · 05.02.2004, 09:25

Original geschrieben von keztrel
deshalb würd mich interessieren was gegen "magic_quotes" spricht. inwiefern könnte das zum problem werden

- du ziehst mit deinem script zu einem andern hoster um, und vergisst dich zu vergewissern, ob es aktiviert ist.
- dein hoster deaktiviert es irgendwann (z.b. beim wechsel auf eine neue php-version), und vergisst bescheid zu sagen oder macht es zu spät.
- ...

zusammenfassung: du möchtest dich bei einem sicherheitsrelevanten thema nicht auf umgebungseinstellungen verlassen, die deiner kontrolle entzogen sind und sich nach belieben ändern können.
stattdessen möchtest du selbst für das notwendige maß an sicherheit sorgen, in dem du überall dort wo es angebracht ist, mysql_(real_)escape_string() verwendest.

**keztrel** · 05.02.2004, 09:32

ah k danke, das heisst der magic_quots tag selber ist nicht das problem sonder der verlass darauf...

**Abraxax** · 05.02.2004, 11:02

richtig.

hier noch was zum lesen.....
http://www.php-resource.de/forum/sho...493#post219493

auch weiter oben und unten...

**afogel** · 27.03.2004, 11:49

sry, bin nur gaaanz selten hier, aber das muss geklärt werden...

ich sagte ja bereits, das ist die noob-denkweise ...

http://ion.nuke.de

Willst du weiter diskutieren?

mfg afogel

**webstar85** · 27.03.2004, 12:42

Ein weiterer Punkt vom Verlass auf magic_quotes_gpc abzuraten, sind gerade Scripte die für die Weitergabe gedacht sind. Es kann nicht garantiert werden, dass alle die Möglichkeit haben auf die PHP Konfiguration zuzugreifen. Deswegen ist es IMHO besser generell so zu arbeiten, dass magic_quotes_gpc off ist.

**afogel** · 27.03.2004, 14:38

man kann sich ja funktionen schreiben, die überprüfen, ob magic_quotes_* on oder off ist....
Das ist für mich also kein Argument....

mfg afogel

SQL-Injections abfangen