Register for your free account! | Forgot your password?

You last visited: Today at 08:36

  • Please register to post and access all features, it's quick, easy and FREE!


Sql...

Reply
 
Old   #1
 
elite*gold: 260
Join Date: May 2012
Posts: 371
Received Thanks: 337
Sql...

Hey Leute weiß einer wie man sich von den Sql Injectionen schützen kann ?



.Shyo. is offline  
Old 06/06/2012, 15:13   #2
 
elite*gold: 0
Join Date: Oct 2007
Posts: 493
Received Thanks: 736
Ich gebe einmal das wieder, was ich bis zu diesem Zeitpunkt an Erfahrung/Halbwissen gesammelt habe, ist demzufolge eventuell nicht 100%ig zuverlässig:

Grundsätzlich musst du jede Eingabe mit einer der mysql_real_escape_string() ähnelnden Funktion versehen. So eine ist in jeder Stefan-Pfeiffer-Homepage enthalten.

Wenn es sich um eine reinen Zahleneingabe handelt, kannst du dir is_numeric() zu Nutze machen.

Du könntest natürlich auch ein Array definieren, in das du gewisse Zeichenkobinationen einträgst, die der User nicht eingeben darf (bspw. DELETE, CHARACTER_TBL, ACCOUNT_DBF usw.). Dieses Array wendest du dann auf die Eingabe an und filterst damit die für die Injection notwendigen Tabellen- und Datenbanknamen einfach heraus - oder überprüfst, ob eine der Zeichenkombinationen in der Eingabe enthalten ist und brichst, insofern ein Treffer vorhanden, dann das Skript ab.


Marv!n is offline  
Thanks
1 User
Reply



« Can someone give me codes? | [Help]About this dump txt »



All times are GMT +1. The time now is 08:36.


Powered by vBulletin®
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.
SEO by vBSEO ©2011, Crawlability, Inc.

Support | Contact Us | FAQ | Advertising | Privacy Policy | Abuse
Copyright ©2018 elitepvpers All Rights Reserved.