phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] SQL Inject

Sascha Grossenbacher saschagros at bluewin.ch
Die Jul 18 11:57:40 CEST 2006

Vorherige Nachricht: [php] SQL Inject
Nächste Nachricht: [php] SQL Inject
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

Peter Prochaska wrote:
> Hi Mike,
>
> Mike Hubner schrieb:
> >> Jep, wenn ich die magic_quotes local einschalte gehts auch nimmer.
> >> Das is schon mal gut... heißt dann eigentlich damit wäre in
> >> diesem Fall eine SQL.Injection ausgeschlossen?
>
> In diesem Fall ja, ein Allheilmittel ist magic_quotes aber nicht...
> Da gibt es noch weitere Injection Möglichkeiten.
Ausserdem führt magic_quotes mehr zu Problemen als es hilft, nämlich
wenn dadurch etwas mehrmals escaped wird, dadurch entstehen z.B. Syntax
Fehler im SQL und es lässt sich nicht zur Laufzeit in einem Script
ändern (weil es schon vorher angewandt wird). Aus diesem Grund wird
dieses Feature in PHP6 nicht mehr vorhanden sein [1]. Es ist also von
Vorteil, jetzt schon selbst zu escapen (und eine Prüfung einzubauen, ob
magic_quotes on ist, dann natürlich nicht mehr). Vereinfacht auch
irgendwann einmal in ferner Zukunft (;)) eine Migration.

Gruss Sascha

[1] http://www.php.net/~derick/meeting-notes.html#magic-quotes

Vorherige Nachricht: [php] SQL Inject
Nächste Nachricht: [php] SQL Inject
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive