Register for your free account! | Forgot your password?

Go Back   elitepvpers > Coders Den > Web Development
You last visited: Today at 23:34

  • Please register to post and access all features, it's quick, easy and FREE!

Advertisement



Variable an einer SQL-Abfrage sicher übergeben

Discussion on Variable an einer SQL-Abfrage sicher übergeben within the Web Development forum part of the Coders Den category.

Reply
 
Old   #1
 
Cc_Cc_Cc's Avatar
 
elite*gold: 0
Join Date: Mar 2011
Posts: 419
Received Thanks: 17
Variable an einer SQL-Abfrage sicher übergeben

Hi liebe Com,

ich habe die Variable Counter in einer SQL-Abfrage als Limit gespeichert.

Jetzt könnte man es z.b so manipulieren: (siehe Video);


Jetzt wollte ich auf Nummer sicher gehen und euch fragen worauf ich noch achten sollte, wenn ich eine Variable übergebe an eine SQL-Abfrage.

Habt ihr noch Tipps?


Das im Video hab ich mit der ABS() Funktion behoben.

Zurzeit sieht es so aus, für die Sicherheit der Variable, die zu übergeben ist:

PHP Code:
    if(isset($_POST['counter'])) :

        if(!
is_numeric($_POST['counter'])) :
            exit(
"Kein Integer");
        endif;
        
        
            
$counter filter_var($_POST['counter'], FILTER_SANITIZE_NUMBER_INT);

            
$counter abs($counter);

     endif; 
Cc_Cc_Cc is offline  
Old 09/03/2018, 06:52   #2



 
Serraniel's Avatar
 
elite*gold: 0
The Black Market: 205/1/0
Join Date: May 2010
Posts: 6,853
Received Thanks: 5,106
Bei SQL auf jeden Fall mit Parametern und Prepared Statements arbeiten und die variable nicht direkt in dem SQL String einfügen, da das anfällig gegen Injections ist.
Serraniel is offline  
Thanks
1 User
Old 09/03/2018, 15:53   #3
 
Cc_Cc_Cc's Avatar
 
elite*gold: 0
Join Date: Mar 2011
Posts: 419
Received Thanks: 17
Quote:
Originally Posted by Serraniel View Post
Bei SQL auf jeden Fall mit Parametern und Prepared Statements arbeiten und die variable nicht direkt in dem SQL String einfügen, da das anfällig gegen Injections ist.
Ich möchte ja da auch PDO einsetzen, aber er zeigt mir diese Fehlermeldung an:

Quote:
Array ( [0] => 42000 [1] => 1064 [2] => You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''5'' at line 1 )

Code: (kleiner Abschnitt)
PHP Code:
    $sql $pdo->prepare("SELECT * FROM USER LIMIT :counter;");
    
    
$param = [":counter" => "{$counter}"];
    
    if(!
$sql->execute($param)) {
        
print_r($sql->errorInfo());
    } 
erscheint diese Fehlermeldung:
Cc_Cc_Cc is offline  
Old 09/03/2018, 16:28   #4


 
False's Avatar
 
elite*gold: 0
The Black Market: 243/0/0
Join Date: Apr 2011
Posts: 11,115
Received Thanks: 2,436
Quote:
Originally Posted by Cc_Cc_Cc View Post
Ich möchte ja da auch PDO einsetzen, aber er zeigt mir diese Fehlermeldung an:




Code: (kleiner Abschnitt)
PHP Code:
    $sql $pdo->prepare("SELECT * FROM USER LIMIT :counter;");
    
    
$param = [":counter" => "{$counter}"];
    
    if(!
$sql->execute($param)) {
        
print_r($sql->errorInfo());
    } 
erscheint diese Fehlermeldung:
Folgendes sollte schöner aussehen und auch ohne Probleme funktionieren (nur aus dem gedachniss geschrieben.. ob c&p klappt weiß ich nicht).
Dient ja auch nur als Beispiel.
PHP Code:
$sql "
   SELECT
      *
   FROM user
   LIMIT :limit
"
;
$stmt $pdo->prepare($sql);
$stmt->bindValue('limit'$counterPDO::PARAM_INT);
$stmt->execute(); 
Bitte nutzt nicht diesen wiederlichen Syntax mit "endif" und nutz kein * in Queries..
False is offline  
Thanks
2 Users
Reply


Similar Threads Similar Threads
Variable von AutoIt zu C#/C++ übergeben?
07/18/2014 - AutoIt - 8 Replies
Hallo zusammen, ich wollte nachfragen, ob es möglich ist, variablen von AutoIt in irgendeiner Weise an ein anderes Programm zu übergeben? Bsp.: Ich mache ein AutoIt Programm, das mit ImageSearch herausfindet, ob ein gewisses Bild auf dem Bildschirm vorhanden ist oder nicht. Wenn das der fall ist dann ist die Variable $res1 = 1. Falls nicht ist sie = 0. Und jetzt würde ich gerne diese Information in einem C# Programm weiterverwenden.
PHP JS Alternativen um Variable zu übergeben?
06/28/2014 - Web Development - 12 Replies
Serv! Ich bastel derzeit an einer landing page für den Game Client von League of Legends. Nun möchte ich ein Textfeld in meinen Client bauen wo die Variable des Textfelds an einen Link übergeben wird. Hab es im Firefox easy zum laufen bekommen: http://s14.directupload.net/images/140625/5rwdcv4 o.png <?php error_reporting(0); $name = $_POST; ?>
[Hilfe] Textbox variable an andere Form übergeben
05/25/2014 - .NET Languages - 3 Replies
Hallo ich habe ein Programm in VB mit 2 Fenstern 1. Login 2. Spiel in der Login Form gibt es eine Textbox für die ip aber wie übergebe ich die ip an die andere Form ? Danke für jede Hilfe
Wrapper Problem/Variable übergeben
05/23/2014 - Web Development - 1 Replies
Moin, ich habe ein kleines Wrapper Problem. Ich würde gerne an eine .Php über eine Variable einen Wert übergeben, der mir eine Antwort liefern soll. Es soll so funktionieren, der Client sendet eine Anfrage an "Http://irgendwas.de/wrapper.php?wert=" die "wrapper.php" soll ein Array mit werten enthalten in einer simplen Form, wie: $werte= array (Text1|1,Text2|2,Text3|3);
ASPX Variable an Javaapplet übergeben
09/03/2012 - .NET Languages - 8 Replies
Hallöchen ich möchte eine ASPX Variable an ein Javaapplet übergeben... mein momentaner code sieht so aus .. aber der hakt ein bissl... ich versuch sehr warscheinlich die variable falsch zu übergeben... <%@ Page Title="Chat" Language="C#" MasterPageFile="~/Site.Master" AutoEventWireup="true" CodeBehind="Chat.aspx.cs" Inherits="WebTest.Account.ChangePassword" ; %> <asp:Content runat="server" ID="BodyContent" ContentPlaceHolderID="MainContent"> <hgroup class="title">



All times are GMT +1. The time now is 23:37.


Powered by vBulletin®
Copyright ©2000 - 2026, Jelsoft Enterprises Ltd.
SEO by vBSEO ©2011, Crawlability, Inc.
This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Support | Contact Us | FAQ | Advertising | Privacy Policy | Terms of Service | Abuse
Copyright ©2026 elitepvpers All Rights Reserved.