Homepage Sicher? .PHP ( Metin2 Homepage )

~~Byte♔~~ · 03/27/2016, 23:25

Hallo, liebe Community.
Ich bin noch sehr neu wen es um .PHP geht.

Deshalb frage ich mal euch, ob das ganze sicher ist.

mysql_query kann das sicher sein?

Oder muss man mysql_real_escape_string?

Danke, freue mich über Antworten.

.PolluX · 03/27/2016, 23:41

mysql_query(); führt lediglich einen SQL-Befehl aus, den du definierst.
Außerdem sollte man generell alle Usereingaben ($_POST etc.) escapen.
Zusätzlich dazu ist mysql_ veraltet, also sollte das Ganze auf MySQLi
geupdated werden, das bringt auch nochmal zusäztliche Sicherheitsfeatures.

String escapen:

PHP Code:


			
MySQL:

$lala = mysql_real_escape_string($_POST['lala'], $con);



MySQLi (prozedural):

$lala = mysqli_real_escape_string($con, $_POST['lala']);



MySQLi(objektorientiert):

$lala = $con->real_escape_string($_POST['lala']);

$con spiegelt hier deine offene Datenbankverbindung wieder.

~~Remix v83~~ · 03/28/2016, 00:07

Quote:

Originally Posted by .Poᴌᴌuᶍ

mysql_query(); führt lediglich einen SQL-Befehl aus, den du definierst.
Außerdem sollte man generell alle Usereingaben ($_POST etc.) escapen.
Zusätzlich dazu ist mysql_ veraltet, also sollte das Ganze auf MySQLi
geupdated werden, das bringt auch nochmal zusäztliche Sicherheitsfeatures.

String escapen:

PHP Code:

MySQL: $lala = mysql_real_escape_string($_POST['lala'], $con); MySQLi (prozedural): $lala = mysqli_real_escape_string($con, $_POST['lala']); MySQLi(objektorientiert): $lala = $con->real_escape_string($_POST['lala']);

$con spiegelt hier deine offene Datenbankverbindung wieder.

es gibt nichts an mysql_* auszusetzen so lange man noch php5 nutzt
zudem liegt die performance auch über der von mysqli und pdo

und wenn man schon mysqli/pdo nutzt kann man sich das escapen auch sparen und prepared statements nutzen

theo1990 · 03/28/2016, 12:59

Quote:

Originally Posted by Remix v83

es gibt nichts an mysql_* auszusetzen so lange man noch php5 nutzt
zudem liegt die performance auch über der von mysqli und pdo

und wenn man schon mysqli/pdo nutzt kann man sich das escapen auch sparen und prepared statements nutzen

ab php 5.5 ist mysql_* komplett deprecated und kann nicht mehr verwendet werden.

Zu PDO:
Ist halt eine Abstraktionsschicht und dient dazu, falls mehrere Datenbankmanagmentsysteme genutzt werden, der code nicht mehr angefasst werden muss. Mehr auf php.net. Die performance ist glaub ich relativ gleich kann mich da aber irren.

andii · 03/28/2016, 13:02

Da es hierbei ja mehr um PHP als um Metin2 geht, kommt es eigentlich hier:

rein

~~Remix v85~~ · 03/28/2016, 13:22

Quote:

Originally Posted by theo1990

ab php 5.5 ist mysql_* komplett deprecated und kann nicht mehr verwendet werden.

Zu PDO:
Ist halt eine Abstraktionsschicht und dient dazu, falls mehrere Datenbankmanagmentsysteme genutzt werden, der code nicht mehr angefasst werden muss. Mehr auf php.net. Die performance ist glaub ich relativ gleich kann mich da aber irren.

falsch
es gilt offiziell als veraltet man kann es trotzdem noch nutzen
man kann erst ab php7 nicht mehr nutzen weil es entfernt wurde

informier dich bevor du müll verbreitest

JXY' · 03/28/2016, 13:25

Quote:

Originally Posted by Remix v85

falsch
es gilt offiziell als veraltet man kann es trotzdem noch nutzen
man kann erst ab php7 nicht mehr nutzen weil es entfernt wurde

informier dich bevor du müll verbreitest

Anstatt man einfach mal ein "Beweis" postet, anstatt sich gegenseitig schon wieder zu beleidigen.

~~Remix v85~~ · 03/28/2016, 13:28

Quote:

Originally Posted by JXY'

Anstatt man einfach mal ein "Beweis" postet, anstatt sich gegenseitig schon wieder zu beleidigen.

wenn er nen beweis will soll er selber googeln
wieso soll ich mir die mühe machen nur weil er ahnungslos ist

JXY' · 03/28/2016, 13:31

Quote:

Originally Posted by Remix v85

wenn er nen beweis will soll er selber googeln
wieso soll ich mir die mühe machen nur weil er ahnungslos ist

Warum schreibst du dann überhaupt in einen "Hilfe"- Thread, wenn du tatsächlich niemand helfen willst. Teile dein Wissen sinnvoll anstatt damit andere nieder zu machen.

theo1990 · 03/28/2016, 13:36

ich hab ein beweis angeführ jungs schaut mal unter LINK

Oder willst du das dein server andauernd deprecated warnungen auspuckt?

~~Remix v85~~ · 03/28/2016, 13:38

Quote:

Originally Posted by theo1990

ich hab ein beweis angeführ jungs schaut mal unter LINK

"This extension was deprecated in PHP 5.5.0, and it was removed in PHP 7.0.0."
"ab php 5.5 ist mysql_* komplett deprecated und kann nicht mehr verwendet werden. "

sehe keinen beweis für deine aussage

Quote:

Originally Posted by theo1990

Oder willst du das dein server andauernd deprecated warnungen auspuckt?

wenn man nicht weiß wie man das verhindert kann das schon nerven
bzw muss es eigentlich aktiviert werden dass diese meldungen kommen

wenn man php5 nutzt ist mysql_* einfach am schnellsten
guckt euch benchmarks an und akzeptiert es oder nicht

theo1990 · 03/28/2016, 13:41

Quote:

Originally Posted by theo1990

Oder willst du das dein server andauernd deprecated warnungen auspuckt?

weißt bescheid

Quote:

Originally Posted by Remix v85

wenn man nicht weiß wie man das verhindert kann das schon nerven
bzw muss es eigentlich aktiviert werden dass diese meldungen kommen

ich schalte bestimmt keine lognachrichten am server aus. sonst bräuchte ich ja garkeine logs

~~Remix v85~~ · 03/28/2016, 13:50

Quote:

Originally Posted by theo1990

weißt bescheid

ich schalte bestimmt keine lognachrichten am server aus. sonst bräuchte ich ja garkeine logs

raffst glaube ich nicht worauf ich hinaus will

naja
bleib dabei müll zu verbreiten

.PolluX · 03/28/2016, 15:44

Bei PHP5 macht es keinen großen Unterschied, ob du nun mysql_ oder mysqli_ / pdo nutzt.
Aus Schönheitsgründen und um einem späteren rework vorzubeugen kann man es aber direkt richtig machen und eine aktuelle Extension benutzen. Fertig aus.

.aNNdii# · 03/29/2016, 19:09

#moved…