In diesem Video wird gezeigt, wie Sie die Nutzereingaben vor der Übergabe an MySQL reinigen können um so der Gefahr einer SQL-Injection zu entgehen.
SQL-Injection verhindern
Logge dich ein oder registriere dich, um Sender abonnieren zu können. Wir speichern weder favorisierte Videos noch Senderlisten.
25 Antworten zu „SQL-Injection verhindern“
Semper ist wahrscheinlich der Größte HACKER der Welt <3
PROTIP: möglicherweise hat einigen PHP Entwicklern Magic Quotes den Hals
gerettet da hier automatisch das escapen von POST/GET Variablen übernimmt.
magic_quotes_gpc = On. In PHP 5.3 war dies bereits DEPRECATED in 5.4 wurde
es ENTFERNT. Also doch mal schnell durch die sourcen gehen bevor hier auf
eine neu PHP version geupdated wird. Bzw. Panik! sollte dies von eurem
Hoster ohne euren wissen gemacht worden sein.Sehr schönes Video
@videozehn Der Aufwand wäre viel größer, denn man müsste selbständig
entscheiden, welche Zeichen man erlaubt und welche nicht. Und wenn man Pech
hat, hat man eines der Zeichen vergessen (oder ein neues kommt in einer
späteren DB-Version hinzu), das dann doch zum Angriff genutzt werden kann.
Der von der jeweiligen Datenbank bereitgestellte Befehl (real_escape oder
pg_escape_string) stellt (so sollte es sein) sicher, dass wirklich jeder
Steuerbefehl maskiert wird.Für PostgreSQL-Benutzer: hier heißt der Befehl pg_escape_string($string)
… wirklich einer der wichtigsten Befehle überhaupt, wenn es um die
Sicherheit der SQL-Datenbank geht.@Ladsch Das was Sie aufzählen stimmt zwar, beschreibt aber nur die Theorie.
Die Praxis sieht da gegen wie folgt aus: Arbeitgeber macht Druck auf
Programmierer, dass die Software quasi sofort fertig zu sein hat.
Programmierer verwaltet Millionen von Codezeilen, die er nie geschrieben
hat und selbst auch kaum noch versteht. Er will es auch nicht mehr
verstehen, weil es zu aufwendig ist. So schleppen sich Fehler über
Generationen fort und wg. des Drucks kommen neue „Flüchigkeitsfehler“ hinzu.@MaurisTechChannel Ich schätze mal Sie haben den Kommentar unter das
falsche Video gesetzt, da in diesem Video kein Tool, nur eine PHP-Funktion
gezeigt wird.Man könnte es doch auch einfach so einstellen, dass keine Sonderzeichen
erlaubt sind, also nur buchstaben und zahlen, oder ?@TokraAkaOnur Aha? Ja, wo denn? Ich glaube kaum ein „Admin“ ist so dumm,
und weiß davon nichts.@LucasHelpPhotoshop Ist das so? Die Rechtschreib-Tutorials scheinen
ebenfalls fail zu sein.@LucasHelpPhotoshop Was haben Tutorials auf Youtube oder die mangelnde
Qualität derselben mit deinen Fähigkeiten zu tun? Wenn du es lernen willst,
dann tu es doch einfach und setz dich dran. Aber diese Ausrede, die hilft
wohl kaum ;)Lernt uns erstma php bevor ihr mit einer injection anfängt . Ich
persöhnlich kann es selber nur teilweiße . da die tutorials bei youtube
dafür einfach nur Fail sind XDNeiiiinnnn jetzt werde ich nie ein jedi :(
In meinen Scripten arbeite ich mit htmlspecialchars. Der macht die ‚ ja zu
‘. Ist das genauso sicher oder eher unüblich?@Monoffel Ein \ wird zu \\, ja. Wenn du \‘ nochmal durch die Funktion
jagst, kommt \\\‘ raus.Sehr schön. PHP als Scriptsprache zu bezeichnen ist ein gelungener Schritt
in zurück Richtung Leetness.vor dem nutzen von mysql real escape string muss man sich mit mysql
connecten ;)Geil wäre es wenn ihr mal zeigen würdet ob man SESSION’s modifizieren kann
und wie man sich schützen kann…. :).kann man die escape zeichen nicht auch selbst escapen also man gibt ein \‘
und es wird zu \\‘ und dann geht es wieder ? oder wie funktioniert dasIch bin euch echt dankbar. Ich schreibe mir selbst gerade eine Webseite und
da war ich vor soetwas nicht vorbereitet. Jetzt kann ich das (noch früh
genug) ändern.peinlich… aber schön das ihr es gefixt habt …
Danke für das Video, jetzt ist alles wieder sicher! :D
Da sieht man wie durch eine kleine Abänderung das System Sicher gemacht
werden kann.@Sifestia Kenne deinen Feind. Nur wenn du weißt wie ein Angriff
funktioniert kannst du dich dagegen wehren.Wo ist Frank?
Schreibe einen Kommentar
Du musst angemeldet sein, um einen Kommentar abzugeben.