alif Geschrieben 19. Juli 2006 Teilen Geschrieben 19. Juli 2006 Moin, mir hat man mal erzählt, dass man seine Formularfelder, welche Daten in die Datenbank speichern, vor "bösen" SQL Befehlen schutzen soll. Nun habe ich z.B. sowas wie ein Gästebuch und möchte es vermeiden, dass da jemand auf die Idee kommt irgendwass drin einzutippen und mir damit meine Datenbank leert (Oder was man sonst noch mit sowas anstelen kann). Mein Problem nun aber: Ich möchte nicht die Befehle wie "DROP", "DELETE" etc. verbieten, da diese Wörter tatsächlich vorkommen könnten. Weiß jemand wie man sich sonst vor sowas schützen kann, oder vor welchen Befehlen man sich schützen sollte? Wie nennt man sowas eigentlich? Google scheint mich nicht zu verstehen! Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
perdian Geschrieben 19. Juli 2006 Teilen Geschrieben 19. Juli 2006 mir hat man mal erzählt, dass man seine Formularfelder, welche Daten in die Datenbank speichern, vor "bösen" SQL Befehlen schutzen soll.Formularfelder zu schützen macht relativ wenig sinn, da sie nur die Darstellung der Werte übernehmen und sich nichts einfacher umgehen lässt als ein clientseitiger Schutz. Weiß jemand wie man sich sonst vor sowas schützen kann, oder vor welchen Befehlen man sich schützen sollte? Wie nennt man sowas eigentlich? Google scheint mich nicht zu verstehen! http://www.google.com/search?hl=de&ie=UTF-8&q=sql%20injection Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
alif Geschrieben 19. Juli 2006 Autor Teilen Geschrieben 19. Juli 2006 Danke schon mal. So nennt sich das also heutzutage! Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
lordy Geschrieben 19. Juli 2006 Teilen Geschrieben 19. Juli 2006 Ich bin kein Experte auf diesem Gebiet, aber eine Möglichkeit (selbstverständlich sollte man sich nicht nur darauf verlassen) sind (zumindest in MySQL) Prepared Statements. Damit legst du die Abfrage fest und füllst nachher nur noch einen oder mehrere Werte ein. Wenn dann jemand eine SQL Injection versucht bricht die Datenbank die Abfrage ab. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
perdian Geschrieben 20. Juli 2006 Teilen Geschrieben 20. Juli 2006 Wenn dann jemand eine SQL Injection versucht bricht die Datenbank die Abfrage ab.Nö, in der Tabelle wird dann schlicht und ergreifend der Wert hineingeschrieben ohne als SQL interpretiert zu werden. That's it! Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Unique86 Geschrieben 21. Juli 2006 Teilen Geschrieben 21. Juli 2006 Die frage : In welche Frage hast du denn dein Gästebuch geschrieben ??? Hier ist auch ein sehr Interessanter Artikel dazu : http://www.phpmagazin.de/itr/online_artikel/psecom,id,396,nodeid,62.html Gruss Sven Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.