Hi,
Der Titel ist vielleicht etwas komisch
Also ich habe folgendes Problem:
Diese Abfrage funktioniert nicht und ich weiss auch warum und zwar wegen des 2. Where Arguments.PHP-Code:$sql = "SElECT name, vorname FROM daten WHERE name = '".$_POST["name"]."', vorname = '".$_POST["vorname"]."'";
Was für ein Zeichen muss zwischen die beiden Argumente, dass es funktioniert?PHP-Code:vorname = '".$_POST["vorname"]."'
Vielen Dank
MFG
Kevin Haag
Deshalb können Pinguine nicht fliegen: Was nicht fliegt, kann auch nicht abstürzen.
statt dem komma or oder and
vgl:
also name auch durch ` einrahmen weil das ein keyword ist in mysql!Code:select a.obj1, a.obj2 from tabelle a where a.id>10 and a.`name`="tom"
Darf ich freundlicherweise daran erinnern, dass nicht escapte Strings potenzielle SQL-Injektions darstellen...
siehe auch PHP/Mysql Doku
BTW: Der Mysql Table Alias ist überflüssig und besitzt hier kein funktionales Anrecht zu existieren
Geändert von Blutgerinsel (18-04-2008 um 21:45 Uhr)
Also da ich erst angefangen habe zu programmieren verstehe ich leider nicht wie du das schreiben würdes damit es sicher ist.
Könntest du mir bitte erklären wie man jetzt z.B meinen Code "sicher" macht?Darf ich freundlicherweise daran erinnern, dass nicht escapte Strings potenzielle SQL-Injektions darstellen...
siehe auch PHP/Mysql Doku
BTW: Der Mysql Table Alias ist überflüssig und besitzt hier kein funktionales Anrecht zu existieren
MFG
Kevin Haag
Deshalb können Pinguine nicht fliegen: Was nicht fliegt, kann auch nicht abstürzen.
Das ist alles eine Frage wie genau man nun lesen möchte oder nicht...
Schau dir mal http://de2.php.net/mysql_real_escape_string insbesondere das Beispiel an.
Aber das dich ein Moderator darauf nicht hinweist, finde ich nicht sonderlich prickelnd
naja, ich würde dem mod hier keine schuld geben. schließlich wird ja selbst in der doku zu mysql_query absolut nicht auf mysql_real_escape_string hingewiesen:
http://de2.php.net/manual/de/function.mysql-query.php
greetz
ps: nur die englische seite http://de2.php.net/manual/en/function.mysql-query.php enthält zumindest einen siehe auch link...
Geändert von quinte17 (20-04-2008 um 06:58 Uhr)
Das sind im Grunde essentielle DB Grundlagen und auch der Grund warum X Pages mit Leichtigkeit gehackt werden können
ja, ich weiß was das natürlich auslösen kann.
finde es auch nicht falsch, darauf hinzuweisen, aber dann gleich persönlich werden ist halt nicht unbedingt zielfördernd.
man kann auch neutral auf das problem hinweisen.
bitte versuche das ein bisschen im hinterkopf zu halten.
greetz
Inwiefern persönlich?Zitat von quinte17
Ich darf ja wohl noch meine Meinung äussern...
Mein mangelndes Verständnis begründet sich auf der Regel Fachkompetenz == Mod
Ob er es nun übersehen hat oder ob es im egal ist kann ich nicht beurteilen, jedenfalls halte ich es für sinnvoll solche Dinge Anfängern mitzuteilen
naja
magic quotes sind bei php4/5 standartmäßig aktivert.
deshalb besteht hier (falls php richtig konfiguriert ist) kein sicherheitsproblem.
Also ich finde es gut das mich Blutgerinsel auf die Sicherheitslücke aufmersam gemacht hat, so kann ich immer wieder dazu lernen
Und wegen den Magic Quotes, ich habe gehört das diese in php 6 verschwinden werden, sprich ich muss es doch umschreiben
MFG
Kevin Haag
Deshalb können Pinguine nicht fliegen: Was nicht fliegt, kann auch nicht abstürzen.
Jap und dennoch existieren diverse Hoster die aus nicht nachvollziehbaren Gründen keine Standard(Wortstamm != Standarte)config verwenden wollen.
Man kann nun einfach im jugendlichen Leichtsinn davon ausgehen das auch alles wunderbar passen wird, oder man reduziert die Wahrscheinlichkeit das durch einen Bug in der PHP Funktion oder Fehlkonfiguration von PHP sich eine potenzielle Angriffsfläche bietet.
Im Grunde interessiert mich nicht was Andere tun oder was für Schwachstellen sich begünstigen....Warum auch, ist nicht meine Datenbank oder mein Script -.-
Berechtigungen
Zitieren
Lesezeichen