phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] sichere MySQL Queries

Sebastian Mendel lists at sebastianmendel.de
Mon Nov 13 11:24:01 CET 2006

Vorherige Nachricht: [php] sichere MySQL Queries
Nächste Nachricht: [php] escape bei Ausgabe von Request-Parametern
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

TimTaler schrieb:

>>> Ich überprüfe gerade mal unsere Queries auf Injecction.
>>
>> Im QueryString finden sich bei mir lediglich Angaben ala 
>> "order=A657437B37CF3572" etc.
>
> Ich würde das _order_ auch nicht im Klartext im string stehen lassen, 
> sondern entweder auch md5 oder wenigstens rot13 nutzen.*


mich stört das ORDER im Klartext recht wenig, denn ob ich das 
REQUEST-ORDER gegen den MD5 überprüfe oder gegen den tatsächlichen 
Feldnamen ergibt das gleiche: es werden nur gültige Eingaben akzeptiert.

Wenn ich Angst habe darüber zu viel über meine DB-Struktur zu verraten 
kann ich immer noch VIEWS verwenden, bzw. darauf achten das die Rechte 
richtig gesetzt sind.

MD5 oder Zahlen (ORDER BY 5 - sortiere nach 5. Spalte) macht die 
Entwicklung meines Erachtens nur unnötig komplizierter ohne einen 
_tatsächlichen_ Mehrwert oder Sicherheitsgewinn.


-- 
Sebastian Mendel

www.sebastianmendel.de

Vorherige Nachricht: [php] sichere MySQL Queries
Nächste Nachricht: [php] escape bei Ausgabe von Request-Parametern
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive