CronJob-Service
bei SELFPHP mit ...
|
+ minütlichen Aufrufen
+ eigenem Crontab Eintrag
+ unbegrenzten CronJobs
+ Statistiken
+ Beispielaufrufen
+ Control-Bereich
Führen Sie mit den CronJobs von
SELFPHP zeitgesteuert Programme
auf Ihrem Server
aus. Weitere Infos
|
:: Anbieterverzeichnis ::
Globale Branchen
Informieren Sie sich über ausgewählte Unternehmen im Anbieterverzeichnis von SELFPHP
:: Newsletter ::
Abonnieren Sie hier den kostenlosen
SELFPHP Newsletter!
|
PHP für Fortgeschrittene und Experten Fortgeschrittene und Experten können hier über ihre Probleme und Bedenken talken |
26.12.2007, 00:58:14
|
Member
|
|
Registriert seit: Nov 2007
Ort: Karlsruhe, Dresden
Alter: 35
Beiträge: 596
|
|
AW: Frage zu SQL Injektion
na ich mein das so
PHP-Code:
$Vorname = mysql_real_escape_string($_POST['Vorname']);
$Name = mysql_real_escape_string($_POST['Name']);
$PLZ = mysql_real_escape_string($_POST['PLZ']);
$Ort = mysql_real_escape_string($_POST['Ort']);
$Strasse = mysql_real_escape_string($_POST['Strasse']);
$GebDat = mysql_real_escape_string($_POST['GebDat']);
$Username = mysql_real_escape_string($_POST['Username']);
$Passwort = mysql_real_escape_string(md5($_POST['Passwort1']));
$Homepage = mysql_real_escape_string($_POST['Homepage']);
$Mail = mysql_real_escape_string($_POST['Email1']);
$query = MYSQL_QUERY("INSERT INTO User (Vorname, Name, Plz, Ort, Strasse, Gebtag, Username, Passwort, Homepage, Email)
VALUES('$Vorname','$Name','$PLZ','$Ort','$Strasse','$GebDat','$Username','$Passwort','$Homepage','$Mail')");
|
26.12.2007, 01:00:56
|
Senior Member
|
|
Registriert seit: Sep 2007
Ort: Potsdam
Alter: 55
Beiträge: 1.020
|
|
AW: Frage zu SQL Injektion
Ja und?
__________________
Wat der Bauer nich kennt, dit frisster nich.
|
26.12.2007, 01:05:11
|
Member
|
|
Registriert seit: Nov 2007
Ort: Karlsruhe, Dresden
Alter: 35
Beiträge: 596
|
|
AW: Frage zu SQL Injektion
na ich weis nicht so richtig was du meinst,
Geändert von ksticker (26.12.2007 um 01:05:21 Uhr)
|
26.12.2007, 01:07:00
|
Senior Member
|
|
Registriert seit: Sep 2007
Ort: Potsdam
Alter: 55
Beiträge: 1.020
|
|
AW: Frage zu SQL Injektion
Welchen Teil meiner letzten Aussage kannst Du denn nicht auf Deinen Code anwenden?
__________________
Wat der Bauer nich kennt, dit frisster nich.
Geändert von defabricator (26.12.2007 um 01:07:10 Uhr)
|
26.12.2007, 01:10:42
|
Member
|
|
Registriert seit: Nov 2007
Ort: Karlsruhe, Dresden
Alter: 35
Beiträge: 596
|
|
AW: Frage zu SQL Injektion
ich verstehe schonmal das nicht, mit dem anderen brauchen wir uns erstmal nicht beschäftigen solange ich das hier nicht verstanden habe
PHP-Code:
<?php
$mysql = mysql_connnect(...
mysql_select_db( , $mysql ...
...
$y = mysql_real_escape_string($x, $mysql);
Was passiert denn hier?
|
26.12.2007, 01:15:13
|
Senior Member
|
|
Registriert seit: Sep 2007
Ort: Potsdam
Alter: 55
Beiträge: 1.020
|
|
AW: Frage zu SQL Injektion
Irgendwo läßt Du doch eine Verbindung mit dem Mysql Server herstellen, oder? Das ist die mysql_connect Zeile.
Und irgendwo wählst Du eine Datenbank auf dem Server aus. Das ist die mysql_select_db Zeile.
Vorkaumodus:
PHP-Code:
$mysql = mysql_connect('Hegel', 'Kant', 'Wittgenstein') or die(mysql_error()); mysql_select_db('Heidegger',$mysql) or die(mysql_error($mysql));
$Vorname = mysql_real_escape_string($_POST['Vorname'], $mysql); $Name = mysql_real_escape_string($_POST['Name'], $mysql); $PLZ = mysql_real_escape_string($_POST['PLZ'], $mysql); $Ort = mysql_real_escape_string($_POST['Ort'], $mysql); $Strasse = mysql_real_escape_string($_POST['Strasse'], $mysql); $GebDat = mysql_real_escape_string($_POST['GebDat'], $mysql); $Username = mysql_real_escape_string($_POST['Username'], $mysql); $Passwort = mysql_real_escape_string(md5($_POST['Passwort1'])); $Homepage = mysql_real_escape_string($_POST['Homepage'], $mysql); $Mail = mysql_real_escape_string($_POST['Email1'], $mysql);
$sql = "INSERT INTO User ( Vorname, Name, Plz, Ort, Strasse, Gebtag, Username, Passwort,Homepage, Email ) VALUES ( '$Vorname','$Name','$PLZ','$Ort','$Strasse', '$GebDat','$Username','$Passwort','$Homepage','$Mail' )";
$query = mysql_query($sql, $mysql) or die(mysql_error($mysql));
__________________
Wat der Bauer nich kennt, dit frisster nich.
|
26.12.2007, 01:16:43
|
Member
|
|
Registriert seit: Nov 2007
Ort: Karlsruhe, Dresden
Alter: 35
Beiträge: 596
|
|
AW: Frage zu SQL Injektion
ja das hab ich in einem extra script stehen (Connect.php) dieses ruf ich per require 'Connect.php'; auf
Geändert von ksticker (26.12.2007 um 01:17:01 Uhr)
|
26.12.2007, 01:19:40
|
Member
|
|
Registriert seit: Nov 2007
Ort: Karlsruhe, Dresden
Alter: 35
Beiträge: 596
|
|
AW: Frage zu SQL Injektion
was erfüllt denn diese Zeile für einen Zweck
$Vorname = mysql_real_escape_string($_POST['Vorname'], $mysql);
besonders das $mysql
|
26.12.2007, 01:22:03
|
Senior Member
|
|
Registriert seit: Sep 2007
Ort: Potsdam
Alter: 55
Beiträge: 1.020
|
|
AW: Frage zu SQL Injektion
Trotzdem sollte die Variable mit der Resource möglichst erreichbar sein.
Einfachste Variante ist ein Singleton
PHP-Code:
function get_mysql() { static $mysql = null; if (is_null($mysql)) { $mysql = mysql_connect('Hegel', 'Kant', 'Wittgenstein') or die(mysql_error()); mysql_select_db('Heidegger',$mysql) or die(mysql_error($mysql)); } return $mysql; }
__________________
Wat der Bauer nich kennt, dit frisster nich.
|
26.12.2007, 01:24:02
|
Member
|
|
Registriert seit: Nov 2007
Ort: Karlsruhe, Dresden
Alter: 35
Beiträge: 596
|
|
AW: Frage zu SQL Injektion
ok, aber was hat das ganze für einen sinnlichen Hintergrund, welchen Zweck erfüllt diese Technik?
|
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
|
|
Themen-Optionen |
|
Ansicht |
Linear-Darstellung
|
Forumregeln
|
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
HTML-Code ist aus.
|
|
|
Alle Zeitangaben in WEZ +2. Es ist jetzt 12:49:22 Uhr.
|