phpbar.de logo

Mailinglisten-Archive

[php] sichere MySQL Queries

[php] sichere MySQL Queries

Lutz Zetzsche Lutz.Zetzsche at sea-rescue.de
Don Nov 9 12:39:05 CET 2006


Hi Michael,

Am Donnerstag, 9. November 2006 12:40 schrieb Michael Borchers:
> Ich überprüfe gerade mal unsere Queries auf Injecction.
>
> So wird zb via GET eine Sortierung übergeben, die dann in die Query a
> la "ORDER BY $_GET['order']" übergeben wird.
>
> Ein Angriff via $GET['order'] = leer;DROP TABLE 'x' wäre ohne
> weiteres möglich.
>
> abhilfe würde ein real_escape_string bringen, aber was wenn z.B. jmd
> ´x´ verwendet?!
>
> einfache abhilfe wäre ein abfangen von ';', aber sicherlich gibts
> dann auch noch lücken.
>
> ein tipp?!

wenn Du eine aktuelle MySQL-Version und mysqli() verwendest, würde ich 
Prepared Statements zu verwenden empfehlen. :-)

Viele Grüße
Lutz

php::bar PHP Wiki   -   Listenarchive