Sql Injection

Terrat · 05/26/2015, 17:15

Hallo, ich will Sql Injektionen verhindern.
Ich dachte mir das ich den String parse und verdächte sachen entferne und Befehle unschädlich mache. Es handelt sich bei den Eingaben nur um Texte wo sowas normalerweise nicht vorkommen sollte. (ohne sonderzeichen)
Also sollte ich folgende Zeichen enfternen: ' " und ;
Und Wörter wie DROP durch DR-OP usw ersetzen.
Das mit den zeichen ist ja einfach gemacht aber wie ersetze ich ganze Wörter ?
String ersetzung. Finde dazu aber kein befehl.

snow · 05/26/2015, 19:05

Yoshii50000 · 05/27/2015, 15:34

versuchs lieber mit prepared statements und bind parametern, damit fixt du jede art von sql injection
lg

Terrat · 05/28/2015, 07:39

Quote:

Originally Posted by Yoshii50000

versuchs lieber mit prepared statements und bind parametern, damit fixt du jede art von sql injection
lg

Werde ich machen.
Was machst du aus den flyff bereich hier *_*? Lange nichts von dir gesehen.

MrSm!th · 05/28/2015, 09:13

Ich würde hier entweder Prepared Statements oder eine fertige Funktion zum Escapen nutzen. Ersatzlos Zeichen zu entfernen ist eine ziemlich unflexible und unschöne Lösung. Davon abgesehen hast du in deiner Liste den Backslash vergessen - der kann einem auch gefährlich werden. Daher wie gesagt einfach fertige Lösungen nutzen. Eigene Implementierungen sollte man nur versuchen, wenn man genau weiß, worauf man achten muss.