SQL-Injection verhindern

Favorit
SQL-Injection verhindern

In diesem Video wird gezeigt, wie Sie die Nutzereingaben vor der Übergabe an MySQL reinigen können um so der Gefahr einer SQL-Injection zu entgehen.




25 Antworten zu „SQL-Injection verhindern“

  1. Avatar von 3xRubiks
    3xRubiks

    Semper ist wahrscheinlich der Größte HACKER der Welt <3

  2. Avatar von Legacy of Leo
    Legacy of Leo

    PROTIP: möglicherweise hat einigen PHP Entwicklern Magic Quotes den Hals
    gerettet da hier automatisch das escapen von POST/GET Variablen übernimmt.
    magic_quotes_gpc = On. In PHP 5.3 war dies bereits DEPRECATED in 5.4 wurde
    es ENTFERNT. Also doch mal schnell durch die sourcen gehen bevor hier auf
    eine neu PHP version geupdated wird. Bzw. Panik! sollte dies von eurem
    Hoster ohne euren wissen gemacht worden sein.

  3. Avatar von dfiujfgrigf
    dfiujfgrigf

    Sehr schönes Video

  4. Avatar von atarixle
    atarixle

    @videozehn Der Aufwand wäre viel größer, denn man müsste selbständig
    entscheiden, welche Zeichen man erlaubt und welche nicht. Und wenn man Pech
    hat, hat man eines der Zeichen vergessen (oder ein neues kommt in einer
    späteren DB-Version hinzu), das dann doch zum Angriff genutzt werden kann.
    Der von der jeweiligen Datenbank bereitgestellte Befehl (real_escape oder
    pg_escape_string) stellt (so sollte es sein) sicher, dass wirklich jeder
    Steuerbefehl maskiert wird.

  5. Avatar von atarixle
    atarixle

    Für PostgreSQL-Benutzer: hier heißt der Befehl pg_escape_string($string)
    … wirklich einer der wichtigsten Befehle überhaupt, wenn es um die
    Sicherheit der SQL-Datenbank geht.

  6. Avatar von SemperVideo
    SemperVideo

    @Ladsch Das was Sie aufzählen stimmt zwar, beschreibt aber nur die Theorie.
    Die Praxis sieht da gegen wie folgt aus: Arbeitgeber macht Druck auf
    Programmierer, dass die Software quasi sofort fertig zu sein hat.
    Programmierer verwaltet Millionen von Codezeilen, die er nie geschrieben
    hat und selbst auch kaum noch versteht. Er will es auch nicht mehr
    verstehen, weil es zu aufwendig ist. So schleppen sich Fehler über
    Generationen fort und wg. des Drucks kommen neue „Flüchigkeitsfehler“ hinzu.

  7. Avatar von SemperVideo
    SemperVideo

    @MaurisTechChannel Ich schätze mal Sie haben den Kommentar unter das
    falsche Video gesetzt, da in diesem Video kein Tool, nur eine PHP-Funktion
    gezeigt wird.

  8. Avatar von ter zere
    ter zere

    Man könnte es doch auch einfach so einstellen, dass keine Sonderzeichen
    erlaubt sind, also nur buchstaben und zahlen, oder ?

  9. Avatar von Jakob Kramer
    Jakob Kramer

    @TokraAkaOnur Aha? Ja, wo denn? Ich glaube kaum ein „Admin“ ist so dumm,
    und weiß davon nichts.

  10. Avatar von Jörg Wessels
    Jörg Wessels

    @LucasHelpPhotoshop Ist das so? Die Rechtschreib-Tutorials scheinen
    ebenfalls fail zu sein.

  11. Avatar von SeltsamerAttraktor
    SeltsamerAttraktor

    @LucasHelpPhotoshop Was haben Tutorials auf Youtube oder die mangelnde
    Qualität derselben mit deinen Fähigkeiten zu tun? Wenn du es lernen willst,
    dann tu es doch einfach und setz dich dran. Aber diese Ausrede, die hilft
    wohl kaum ;)

  12. Avatar von LucasHelpPhotoshop
    LucasHelpPhotoshop

    Lernt uns erstma php bevor ihr mit einer injection anfängt . Ich
    persöhnlich kann es selber nur teilweiße . da die tutorials bei youtube
    dafür einfach nur Fail sind XD

  13. Avatar von AirsoftSuperFan
    AirsoftSuperFan

    Neiiiinnnn jetzt werde ich nie ein jedi :(

  14. Avatar von Stefan Kö
    Stefan Kö

    In meinen Scripten arbeite ich mit htmlspecialchars. Der macht die ‚ ja zu
    ‘. Ist das genauso sicher oder eher unüblich?

  15. Avatar von FrozenBra1n
    FrozenBra1n

    @Monoffel Ein \ wird zu \\, ja. Wenn du \‘ nochmal durch die Funktion
    jagst, kommt \\\‘ raus.

  16. Avatar von Yong Yung
    Yong Yung

    Sehr schön. PHP als Scriptsprache zu bezeichnen ist ein gelungener Schritt
    in zurück Richtung Leetness.

  17. Avatar von kinsi55
    kinsi55

    vor dem nutzen von mysql real escape string muss man sich mit mysql
    connecten ;)

  18. Avatar von LGBKAI
    LGBKAI

    Geil wäre es wenn ihr mal zeigen würdet ob man SESSION’s modifizieren kann
    und wie man sich schützen kann…. :).

  19. Avatar von Monoffel
    Monoffel

    kann man die escape zeichen nicht auch selbst escapen also man gibt ein \‘
    und es wird zu \\‘ und dann geht es wieder ? oder wie funktioniert das

  20. Avatar von multinoob300
    multinoob300

    Ich bin euch echt dankbar. Ich schreibe mir selbst gerade eine Webseite und
    da war ich vor soetwas nicht vorbereitet. Jetzt kann ich das (noch früh
    genug) ändern.

  21. Avatar von m0gria
    m0gria

    peinlich… aber schön das ihr es gefixt habt …

  22. Avatar von TekKnoShufFlerzZ
    TekKnoShufFlerzZ

    Danke für das Video, jetzt ist alles wieder sicher! :D

  23. Avatar von Gasolin1
    Gasolin1

    Da sieht man wie durch eine kleine Abänderung das System Sicher gemacht
    werden kann.

  24. Avatar von Steffen W.
    Steffen W.

    @Sifestia Kenne deinen Feind. Nur wenn du weißt wie ein Angriff
    funktioniert kannst du dich dagegen wehren.

  25. Avatar von RCGSoftware
    RCGSoftware

    Wo ist Frank?

Schreibe einen Kommentar

de_DEGerman