[PHP] Schutz vor SQL Injektionen

SeXy · 23. November 2006

Schutz vor SQL Injektionen

Moin!
Hab mich jetzt etwas darüber informiert udn habe eine Funktion auf de.php.net dazu gefunden. Dachte mir jetzt schonmal, nimmste das gleich als Funktion, is weniger Schreibkram. Dann ist mir aufgefallen, dass ichd as ja nur mit $_POST udn $_GET Variablen machen muss. Wäre es denn dann nicht möglich, das gesamte Array mit der Funktion zu überarbeiten, sprich einfach am Anfang der Datei oder sogar in der config einfach anzugeben:
quote_smart($_POST)
quote_smart($_GET)
Und somit alle Inhalte daraus so zu formatieren oder führt das zu anderen Bugs? In meinem Script werden ausschließlich Zahlen und Buchstaben übergeben. Wird da dann vielleicht irgendwas verfälscht?

Hier die Funktion:

PHP:

    function  quote_smart ( $value ) {

     // Ueberfluessige Maskierungen entfernen

         if ( get_magic_quotes_gpc ()) {

             $value  =  stripslashes ( $value );

        }

    // In Anfuehrungszeichen setzen, sofern keine Zahl

   // oder ein numerischer String vorliegt

         if (! is_numeric ( $value )) {

             $value  =  "'"  .  mysql_real_escape_string ( $value ) .  "'" ;

        }

        

        return  $value ;

    }

Anzeige

tHe dUdE · 23. November 2006

AW: Schutz vor SQL Injektionen

Zitat von SeXy: ↑

Moin!
Hab mich jetzt etwas darüber informiert udn habe eine Funktion auf de.php.net dazu gefunden. Dachte mir jetzt schonmal, nimmste das gleich als Funktion, is weniger Schreibkram. Dann ist mir aufgefallen, dass ichd as ja nur mit $_POST udn $_GET Variablen machen muss. Wäre es denn dann nicht möglich, das gesamte Array mit der Funktion zu überarbeiten, sprich einfach am Anfang der Datei oder sogar in der config einfach anzugeben:
quote_smart($_POST)
quote_smart($_GET)
Und somit alle Inhalte daraus so zu formatieren oder führt das zu anderen Bugs? In meinem Script werden ausschließlich Zahlen und Buchstaben übergeben. Wird da dann vielleicht irgendwas verfälscht?

Hier die Funktion:

PHP:

function quote_smart ( $value ) { // Ueberfluessige Maskierungen entfernen if ( get_magic_quotes_gpc ()) { $value = stripslashes ( $value ); } // In Anfuehrungszeichen setzen, sofern keine Zahl // oder ein numerischer String vorliegt if (! is_numeric ( $value )) { $value = "'" . mysql_real_escape_string ( $value ) . "'" ; } return $value ; }

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Stichwort: Rekursion

if(is_array($var))
foreach() ....

MakenX · 23. November 2006

AW: Schutz vor SQL Injektionen

Funktion reicht zur Abwehr nicht aus->Die Typenkontrolle ob String oder Zahl schwächelt und ->kann dir immer noch Query kaputt machen. Und muss mysql_real_escape_string nicht im Zusammenhang mit einer SQL Verbindung benutzt werden?

Im Thread

PHP:

   Codeschnipsel    -   Sammelthread  -  RR : Board [/ URL ]  poste ich zwei Funktionen  die  jeweils einen sauberen String und einen Integerwert für z . B .  IDs garantieren .  Diese sind deutlich engmaschiger als deine Funktion !  Cleanfunktion wird bei mir mit einem zusätzlichen Parameter benutzt ,  der angibt dass der string nochmal durch mysqli :: real_escape_string ( $string )  gejagt werden .  Da ich nicht davon ausgehen kann ,  dass bei den Leuten hier im Rushboard mysqli verwendung findet ,  fehlt das in der hier gepostet clean funktion !
 
  Zumal das nicht dein Werk war ,  diese funktion ist auf den seiten von php . net zu finden !
  Ob etwas verfälscht wird und was genau passiert ,  da hilft dir doch auch das tut von quakenet und php . net ?  Hast du dich vorher überhaupt informiert ?

Nützliche Suchen

[PHP] Schutz vor SQL Injektionen

Videos zum Themenbereich