php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > SQL / Datenbanken
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


SQL / Datenbanken Probleme mit SQL? Hier könnt ihr eure Fragen zu SQL (MySQL, PostgreSQL, MS-SQL und andere ANSI-SQL Server) los werden.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 01-11-2007, 09:27
tyroneslothrop
 Newbie
Links : Onlinestatus : tyroneslothrop ist offline
Registriert seit: Nov 2007
Ort: berlin
Beiträge: 4
tyroneslothrop ist zur Zeit noch ein unbeschriebenes Blatt
Standard frage zu sql-angriffen

hej,
ich bin neu hier und habe eine dumme frage.
ich möchte auf einer website ein eingabeformular einfügen, deren inhalt (nur text und emailadresse) in einer sql-datenbank abgespeichert werden soll. nun liest man im web viel über sql-insertion attacks usw., und alles klingt sehr kompliziert...
ich habe mich gefragt, ob (in meinem einfachen fall) nicht folgendes ausreicht:
php-code:
Code:
$this.validate();
$query ="INSERT INTO message(description, authoremail)
               VALUES('".$this->description."','".$this->authoremail."')";
mysql_query($query);
wobei sich $this auf eine php-klasse bezieht, die die benutzereingaben description und authoremail enthält und validate() eine methode ist, die überprüft, ob in der eingabe eine klammer steht, die nicht zu einem klammernpaar gehört. eigentlich sollte doch jeder versuch, mit dem sql rumzumurksen an der nicht geschlossenen klammer scheitern, oder?
wenn ich das hier alles VIEL zu einfach sehe usw., wäre ich für links zu (aktuellen, vernünftigen und gut zu verstehenden) hinweisen zu diesem thema sehr dankbar.
vielen dank für eure hilfe!
Mit Zitat antworten
  #2 (permalink)  
Alt 01-11-2007, 09:30
asp2php
 Banned
Links : Onlinestatus : asp2php ist offline
Registriert seit: Feb 2004
Beiträge: 11.745
asp2php ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Suche doch mal nach SQL-Injection, da wird dir geholfen. Du stellst Code hierein, aber das Wichtigste verschweigst du, wie soll man denn da was sagen können
Mit Zitat antworten
  #3 (permalink)  
Alt 01-11-2007, 09:33
jahlives
 Master
Links : Onlinestatus : jahlives ist offline
Registriert seit: Jun 2004
Ort: Hooker in Kernel
Beiträge: 8.279
jahlives ist zur Zeit noch ein unbeschriebenes Blatt
Standard

PHP-Code:
$this.validate(); 
funzt nicht!
Zitat:
eigentlich sollte doch jeder versuch, mit dem sql rumzumurksen an der nicht geschlossenen klammer scheitern, oder?
Kennst du mysql_real_escape_string()?

Gruss

tobi
__________________
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)
Mit Zitat antworten
  #4 (permalink)  
Alt 01-11-2007, 09:45
tyroneslothrop
 Newbie
Links : Onlinestatus : tyroneslothrop ist offline
Registriert seit: Nov 2007
Ort: berlin
Beiträge: 4
tyroneslothrop ist zur Zeit noch ein unbeschriebenes Blatt
Standard

hej,
vielen dank. nach sql-insertion habe ich natürlich schon gesucht... ich dachte, es ginge vielleicht in diesem falle einfacher. die methode validate() muss natürlich noch geschrieben werden. aber sie soll ganz einfach mithilfe von regexp überprüfen, ob der string eine schließende klammer enthält, die nicht zu einer öffnenden klammer gehört.
danke für den hinweis auf mysql_real_escape_string(), jahlives! das tut's vielleicht schon.
Mit Zitat antworten
  #5 (permalink)  
Alt 01-11-2007, 10:11
PHP-Desaster
 PHP Expert
Links : Onlinestatus : PHP-Desaster ist offline
Registriert seit: Mar 2006
Beiträge: 3.105
PHP-Desaster befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
vielen dank. nach sql-insertion habe ich natürlich schon gesucht... ich dachte, es ginge vielleicht in diesem falle einfacher. die methode validate() muss natürlich noch geschrieben werden. aber sie soll ganz einfach mithilfe von regexp überprüfen, ob der string eine schließende klammer enthält, die nicht zu einer öffnenden klammer gehört.
danke für den hinweis auf mysql_real_escape_string(), jahlives! das tut's vielleicht schon.
Mach dir nicht so einen Aufwand, von wegen Klammern suchen, etc.! String escapen und fertig werden!
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

PHP Server Monitor

PHP Server Monitor ist ein Skript, das prüft, ob Ihre Websites und Server betriebsbereit sind.

11.09.2018 Berni | Kategorie: PHP/ Security
PHP WEB STATISTIK ansehen PHP WEB STATISTIK

Die PHP Web Statistik bietet Ihnen ein einfach zu konfigurierendes Script zur Aufzeichnung und grafischen und textuellen Auswertung der Besuchern Ihrer Webseite. Folgende zeitlichen Module sind verfügbar: Jahr, Monat, Tag, Wochentag, Stunde Folgende son

28.08.2018 phpwebstat | Kategorie: PHP/ Counter
Affilinator - Affilinet XML Produktlisten Skript

Die Affilinator Affilinet XML Edition ist ein vollautomatisches Skript zum einlesen und darstellen der Affili.net (Partnerprogramm Netzwerk) Produktlisten und Produktdaten. Im Grunde gibt der Webmaster seine Affilinet PartnerID ein und hat dann unmittelb

27.08.2018 freefrank@ | Kategorie: PHP/ Partnerprogramme
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 18:45 Uhr.