Sql Injection

05/26/2015 17:15 Terrat#1

Hallo, ich will Sql Injektionen verhindern.
Ich dachte mir das ich den String parse und verd�chte sachen entferne und Befehle unsch�dlich mache. Es handelt sich bei den Eingaben nur um Texte wo sowas normalerweise nicht vorkommen sollte. (ohne sonderzeichen)
Also sollte ich folgende Zeichen enfternen: ' " und ;
Und W�rter wie DROP durch DR-OP usw ersetzen.
Das mit den zeichen ist ja einfach gemacht aber wie ersetze ich ganze W�rter ?
String ersetzung. Finde dazu aber kein befehl.

05/26/2015 19:05 snow#2

[Only registered and activated users can see links. Click Here To Register...]
[Only registered and activated users can see links. Click Here To Register...]

05/27/2015 15:34 Yoshii50000#3

versuchs lieber mit prepared statements und bind parametern, damit fixt du jede art von sql injection
lg

05/28/2015 07:39 Terrat#4

Quote:

Originally Posted by Yoshii50000

versuchs lieber mit prepared statements und bind parametern, damit fixt du jede art von sql injection
lg

Werde ich machen.
Was machst du aus den flyff bereich hier *_*? Lange nichts von dir gesehen.

05/28/2015 09:13 MrSm!th#5

Ich w�rde hier entweder Prepared Statements oder eine fertige Funktion zum Escapen nutzen. Ersatzlos Zeichen zu entfernen ist eine ziemlich unflexible und unsch�ne L�sung. Davon abgesehen hast du in deiner Liste den Backslash vergessen - der kann einem auch gef�hrlich werden. Daher wie gesagt einfach fertige L�sungen nutzen. Eigene Implementierungen sollte man nur versuchen, wenn man genau wei�, worauf man achten muss.