kills Geschrieben 6. September 2004 Geschrieben 6. September 2004 Hallo zusammen, mich würde interessieren, mit welchen funktionen ihr die Eingaben der User "modifiziert" bevor ihr sie per SQL an die DB abgebt. (z.b. addslashes(), htmlspecialchars(),....) Falls ihr eure Strings erst bei der anzeige modifiziert, welche funktionen dazu? Danke im vorraus.
johnhaltonx Geschrieben 7. September 2004 Geschrieben 7. September 2004 also bei einer Oracle Datenbank kann man sich das sparen, sofern man für alle Eingaben Bind-Variablen verwendet :-) damit funktionieren SQL-Injection Attacks nämlich nicht, und wenn man damit leben kann das manche User halt Müll eintragen. Für die üblichen Verdächtigen gibt es ja haufenweise fertige Scripte die z.B. " " " oder ' oder \ escapen..
kLeiner_HobBes Geschrieben 7. September 2004 Geschrieben 7. September 2004 Also ich escape je nach DB halt die einfachen und doppelten Anführungszeichen und speicher das dann auch so in der DB, so daß die üblichen Injenctions nicht möglich sind. Die restlichen Eingaben werden bei mir idR mit htmlspecialchars() angezeigt (oder halt mit nem Regex()-Ausdruck z.B. bei BBCode bei Gästebüchern oder so).
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde Dich hier an.
Jetzt anmelden