SQL-Injection verhindern

In diesem Video wird gezeigt, wie Sie die Nutzereingaben vor der Übergabe an MySQL reinigen können um so der Gefahr einer SQL-Injection zu entgehen.

SemperVideo.de

SemperVideo.de

Auf unserer Website finden Sie viele Informationen, die “Bad Guys” negativ einsetzen könnten. “Good Guys” können sich mit diesen Informationen besser schützen. Die wichtige Frage ist also, ob die “Good Guys” sicherer sind, wenn wir diese Informationen nicht verbreiten.



  • Kommentare zum Video

    Benachrichtigung
    avatar
    5000
    Sortiert nach:   neuste | älteste | beste Bewertung
    3xRubiks
    Zuschauer

    Semper ist wahrscheinlich der Größte HACKER der Welt <3

    Legacy of Leo
    Zuschauer

    PROTIP: möglicherweise hat einigen PHP Entwicklern Magic Quotes den Hals
    gerettet da hier automatisch das escapen von POST/GET Variablen übernimmt.
    magic_quotes_gpc = On. In PHP 5.3 war dies bereits DEPRECATED in 5.4 wurde
    es ENTFERNT. Also doch mal schnell durch die sourcen gehen bevor hier auf
    eine neu PHP version geupdated wird. Bzw. Panik! sollte dies von eurem
    Hoster ohne euren wissen gemacht worden sein.

    dfiujfgrigf
    Zuschauer

    Sehr schönes Video

    atarixle
    Zuschauer

    @videozehn Der Aufwand wäre viel größer, denn man müsste selbständig
    entscheiden, welche Zeichen man erlaubt und welche nicht. Und wenn man Pech
    hat, hat man eines der Zeichen vergessen (oder ein neues kommt in einer
    späteren DB-Version hinzu), das dann doch zum Angriff genutzt werden kann.
    Der von der jeweiligen Datenbank bereitgestellte Befehl (real_escape oder
    pg_escape_string) stellt (so sollte es sein) sicher, dass wirklich jeder
    Steuerbefehl maskiert wird.

    atarixle
    Zuschauer

    Für PostgreSQL-Benutzer: hier heißt der Befehl pg_escape_string($string)
    … wirklich einer der wichtigsten Befehle überhaupt, wenn es um die
    Sicherheit der SQL-Datenbank geht.

    SemperVideo
    Zuschauer

    @Ladsch Das was Sie aufzählen stimmt zwar, beschreibt aber nur die Theorie.
    Die Praxis sieht da gegen wie folgt aus: Arbeitgeber macht Druck auf
    Programmierer, dass die Software quasi sofort fertig zu sein hat.
    Programmierer verwaltet Millionen von Codezeilen, die er nie geschrieben
    hat und selbst auch kaum noch versteht. Er will es auch nicht mehr
    verstehen, weil es zu aufwendig ist. So schleppen sich Fehler über
    Generationen fort und wg. des Drucks kommen neue “Flüchigkeitsfehler” hinzu.

    SemperVideo
    Zuschauer

    @MaurisTechChannel Ich schätze mal Sie haben den Kommentar unter das
    falsche Video gesetzt, da in diesem Video kein Tool, nur eine PHP-Funktion
    gezeigt wird.

    ter zere
    Zuschauer

    Man könnte es doch auch einfach so einstellen, dass keine Sonderzeichen
    erlaubt sind, also nur buchstaben und zahlen, oder ?

    Jakob Kramer
    Zuschauer

    @TokraAkaOnur Aha? Ja, wo denn? Ich glaube kaum ein “Admin” ist so dumm,
    und weiß davon nichts.

    Jörg Wessels
    Zuschauer

    @LucasHelpPhotoshop Ist das so? Die Rechtschreib-Tutorials scheinen
    ebenfalls fail zu sein.

    wpDiscuz