phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] sichere MySQL Queries

Michael Borchers list at tridemail.de
Don Nov 9 12:40:09 CET 2006

Vorherige Nachricht: [php] Funktion ini_set
Nächste Nachricht: [php] sichere MySQL Queries
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

Ich überprüfe gerade mal unsere Queries auf Injecction.

So wird zb via GET eine Sortierung übergeben, die dann in die Query a la 
"ORDER BY $_GET['order']" übergeben wird.

Ein Angriff via $GET['order'] = leer;DROP TABLE 'x' wäre ohne weiteres 
möglich.

abhilfe würde ein real_escape_string bringen, aber was wenn z.B. jmd ´x´ 
verwendet?!

einfache abhilfe wäre ein abfangen von ';', aber sicherlich gibts dann auch 
noch lücken.

ein tipp?!

Vorherige Nachricht: [php] Funktion ini_set
Nächste Nachricht: [php] sichere MySQL Queries
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive