Quote:
Originally Posted by finaldown97
Wo wir schon dabei sind, ich habe recherchiert, mysql_real_escape_string ist garnicht so unsicher wie du behauptest. Ich denke bevor du hier so ein "Müll" verbreitest solltest du erstmal prüfen ob du recht hast. Sollte ich mich irren und du hast Recht und sogar 'nen Beweis dafür, dann entschuldige ich mich.
|
Ich habe nie etwas von unsicher erzählt, nicht ein Wort hab ich darüber
verloren das mysql_real_escape_string unsicher ist. Ich habe lediglich von
100%iger Sicherheit geredet, die nur eine Whitelist bietet. Bevor du mir
Worte in den Mund legst, lies bitte meine Beiträge Aufmerksamer.
Auserdem besteht(oder bestand?) die Möglichkeit real_escape_string irgentwie mit
Chinesischen Zeichen zu umgehen, dafür lege ich meine Hand aber nicht ins
Feuer. Fakt ist, das die Funktion zwar einen
String maskiert, es aber trotzdem noch Möglichkeiten gibt, HTML Code
mit einzuschmuggeln, was JavaScript mit einschließt und somit auch
Zugriff auf die Cookies eines Clienten ermöglicht, schuld daran ist in
den meisten Fällen der Programmierer, der nicht weiß wie er diese
Funktion richtig einzusetzen hat.
Hier noch ein kleiner Artikel der dich interessieren könnte, Punkt 6
ist für unsere kleine Streitigkeit interessant.
Gesteh dir doch bitte einfach ein das ich in diesem Bereich einfach mehr Fachwissen und Erfahrung besitze. Auserdem wäre ich gerne mal an den Quellen interessiert die besagen das mysql_real_escape_string die Perfekte
und Unknackbare Methode gegen SQL Injections ist.
Was mit bisher auch noch so unklar ist, warum du dir die Worte im Mund
verdrehst, verkraftest du es etwa nicht im Unrecht zu sein? Aber ich werde das jetzt nocheinmal für dich klar stellen,
da du es beim ersten und zweiten mal ja nicht verstanden hast:
(Du du du, wie liest du deinen Syntax, wenn du das noch nicht einmal
bei meinem Post hinbekommst??)
mysql_real_escape_string ist nicht unsicher(
! hier auf das Wort "nicht" aufpassen mein lieber), allerdings sollte es nicht deine einzige "Verteidigung"
gegen Angriffe von ausen sein. Am besten geeignet ist eine Whitelist, somit
ist mysql_real_escape_string überflüssig, da du deinen Query ja nur
ausführst falls vom User stammende Daten auch das richtige Format
besitzen (Sprich Int, String [...]).
Quote:
Originally Posted by 〤Che〤
oder spricht irgendwas gegen meine faulheit?
|
Ja, statische Methoden haben ein gezieltes Einsatzgebiet, und dienen nicht
dazu sich das instanzieren eines Objektes zu sparen.
Quote:
Originally Posted by 〤Che〤
Natürlich kann man mit Templates arbeiten, dann wirds übersichtlicher... Natürlich kann ich meinen HTML-Code außerhalb des PHP-Codes schreiben
|
Was du anscheinend auch noch nicht wusstest ist, das PHP einen eigenen
Template Syntax besitzt, wie ich aus deinem Code entnehmen konnte.
Quote:
Nebenbei: Anstatt hier nur andere zu kritisieren, könntest du ja auch mal zeigen, wie du es machen würdest....
|
Was genau meinst du den damit?