PHP Forum

PHP Forum (http://www.selfphp.de/forum/index.php)
-   PHP Grundlagen (http://www.selfphp.de/forum/forumdisplay.php?f=12)
-   -   Daten sicher übergeben an mysql (http://www.selfphp.de/forum/showthread.php?t=22663)

varos 08.01.2010 14:19:21

Daten sicher übergeben an mysql
 
hy..
wie sicher ist diese methode.

PHP-Code:


function sauber($geretet)
{

   if (
get_magic_quotes_gpc())
   {
       
$geretet stripslashes($geretet);
   }
   
   if (!
is_numeric($geretet))
   {
       
$geretet "'" mysql_real_escape_string($geretet) . "'";
   }
   return 
$geretet;
}
include(
"verbindung_dbb.php");

if(isset(
$_GET['clear']) && $_GET['clear'] != "" && $_SESSION["user_id"] !="") {
    
$query "DELETE FROM tabelle WHERE id=".sauber($_GET['clear']);
   }
    if (
$result mysql_query($query)) {
        echo 
"Daten mit der ID " $_GET['clear'] . " wurden erfolgreich gelöscht";
    } 


vt1816 08.01.2010 14:52:17

AW: Daten sicher übergeben an mysql
 
Definiere doch bitte noch "sicher".

cortex 08.01.2010 15:31:34

AW: Daten sicher übergeben an mysql
 
bei mir tun sich mehrere fragezeichen auf:

1. wie sieht id aus; ist der datentyp nicht ausschliesslich numerisch?
2. wozu (dann) stripslashes( ) und mysql_real_escape_string( )
3. wo werden überhaupt - abgesehen von id - daten übergeben?

cx

varos 08.01.2010 17:01:22

AW: Daten sicher übergeben an mysql
 
Also ich lese Bilder aus einer Datenbank aus und generiere neben dem bild ein link "Löschen"

../editor.php?clear=123

Und die Session Id ist numerisch das stimmt aber trotzdem entschärffen oder....

Nein... folgendes ich logge mich ein mit SESSIONS und dann kann ich die sichere seite bearbeiten, nur wenn ich den Link direkt ins Browser eingebe nach dem ich mich ausgeloggt habe löscht er trotzdem das Bild.

Deswegen übergebe ich jetzt auch die SESSION id mit und es funct
d.H nicht eingeloggt link functioniert nicht
eingeloggt er funktioniert...

varos 08.01.2010 17:03:05

AW: Daten sicher übergeben an mysql
 
Zitat:

Zitat von cortex (Beitrag 133599)
bei mir tun sich mehrere fragezeichen auf:

1. wie sieht id aus; ist der datentyp nicht ausschliesslich numerisch?
2. wozu (dann) stripslashes( ) und mysql_real_escape_string( )


cx

Ja die ID ist numerisch aber mann kann ja glaube isch jeden mist übergeben wenn ich das nicht vorher entschärfe...

urvater 08.01.2010 19:22:49

AW: Daten sicher übergeben an mysql
 
Zitat:

Zitat von varos (Beitrag 133602)
Ja die ID ist numerisch aber mann kann ja glaube isch jeden mist übergeben wenn ich das nicht vorher entschärfe...

Und wenn du was ist wenn du es so addierst?

PHP-Code:

$geretet $_GET[clear]+0

Ist nur eine Möglichkeit

varos 08.01.2010 21:18:24

AW: Daten sicher übergeben an mysql
 
Zitat:

Zitat von urvater (Beitrag 133610)
Und wenn du was ist wenn du es so addierst?

PHP-Code:

$geretet $_GET[clear]+0

Ist nur eine Möglichkeit

d.H.....????????

cortex 10.01.2010 09:48:31

AW: Daten sicher übergeben an mysql
 
prüfung auf numerische datentypen (im weitesten sinne) sind bspw. möglich:

- is_numeric
- is_int

ansonsten schau dir die typisierung von daten in php an. wenn du sicherstellen kannst, dass nur "zahlen" übergeben werden, kann das ganze als "sicher" betrachtet werden.

ansonsten achte bitte auf deinen ausdruck und beschränke dich in deinen ausführungen auf das wesentliche.

cx

urvater 11.01.2010 17:15:18

AW: Daten sicher übergeben an mysql
 
Zitat:

Zitat von varos (Beitrag 133630)
d.H.....????????

Probiere es doch einfach mal in einem kleinen Test aus. Ein kleines Form mit einem Feld. Bei der Auswertung addierst du es mit 0 und bringst das ganze zu Ausgabe.
Du kannst natürlich auch gleich mehrere Felder erstellen und Cortex Vorschläge gleich mit testen.


Alle Zeitangaben in WEZ +2. Es ist jetzt 14:23:56 Uhr.

Powered by vBulletin® Version 3.8.3 (Deutsch)
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.