SQL-Injection verhindern

In diesem Video wird gezeigt, wie Sie die Nutzereingaben vor der Übergabe an MySQL reinigen können um so der Gefahr einer SQL-Injection zu entgehen.

SemperVideo.de

SemperVideo.de

Auf unserer Website finden Sie viele Informationen, die “Bad Guys” negativ einsetzen könnten. “Good Guys” können sich mit diesen Informationen besser schützen. Die wichtige Frage ist also, ob die “Good Guys” sicherer sind, wenn wir diese Informationen nicht verbreiten.
Loading+ Video in die Merkliste



    • Kommentare zum Video

      Benachrichtigung
      avatar
      5000
      Sortiert nach:   neuste | älteste | beste Bewertung
      3xRubiks
      Zuschauer

      Semper ist wahrscheinlich der Größte HACKER der Welt <3

      Legacy of Leo
      Zuschauer

      PROTIP: möglicherweise hat einigen PHP Entwicklern Magic Quotes den Hals
      gerettet da hier automatisch das escapen von POST/GET Variablen übernimmt.
      magic_quotes_gpc = On. In PHP 5.3 war dies bereits DEPRECATED in 5.4 wurde
      es ENTFERNT. Also doch mal schnell durch die sourcen gehen bevor hier auf
      eine neu PHP version geupdated wird. Bzw. Panik! sollte dies von eurem
      Hoster ohne euren wissen gemacht worden sein.

      dfiujfgrigf
      Zuschauer
      atarixle
      Zuschauer

      @videozehn Der Aufwand wäre viel größer, denn man müsste selbständig
      entscheiden, welche Zeichen man erlaubt und welche nicht. Und wenn man Pech
      hat, hat man eines der Zeichen vergessen (oder ein neues kommt in einer
      späteren DB-Version hinzu), das dann doch zum Angriff genutzt werden kann.
      Der von der jeweiligen Datenbank bereitgestellte Befehl (real_escape oder
      pg_escape_string) stellt (so sollte es sein) sicher, dass wirklich jeder
      Steuerbefehl maskiert wird.

      atarixle
      Zuschauer

      Für PostgreSQL-Benutzer: hier heißt der Befehl pg_escape_string($string)
      … wirklich einer der wichtigsten Befehle überhaupt, wenn es um die
      Sicherheit der SQL-Datenbank geht.

      SemperVideo
      Zuschauer

      @Ladsch Das was Sie aufzählen stimmt zwar, beschreibt aber nur die Theorie.
      Die Praxis sieht da gegen wie folgt aus: Arbeitgeber macht Druck auf
      Programmierer, dass die Software quasi sofort fertig zu sein hat.
      Programmierer verwaltet Millionen von Codezeilen, die er nie geschrieben
      hat und selbst auch kaum noch versteht. Er will es auch nicht mehr
      verstehen, weil es zu aufwendig ist. So schleppen sich Fehler über
      Generationen fort und wg. des Drucks kommen neue “Flüchigkeitsfehler” hinzu.

      SemperVideo
      Zuschauer

      @MaurisTechChannel Ich schätze mal Sie haben den Kommentar unter das
      falsche Video gesetzt, da in diesem Video kein Tool, nur eine PHP-Funktion
      gezeigt wird.

      ter zere
      Zuschauer

      Man könnte es doch auch einfach so einstellen, dass keine Sonderzeichen
      erlaubt sind, also nur buchstaben und zahlen, oder ?

      Jakob Kramer
      Zuschauer

      @TokraAkaOnur Aha? Ja, wo denn? Ich glaube kaum ein “Admin” ist so dumm,
      und weiß davon nichts.

      Jörg Wessels
      Zuschauer

      @LucasHelpPhotoshop Ist das so? Die Rechtschreib-Tutorials scheinen
      ebenfalls fail zu sein.