AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Programmieren allgemein [PHP / MYSQL] Whitelist für SQL-Queries

[PHP / MYSQL] Whitelist für SQL-Queries

Ein Thema von TheMiller · begonnen am 14. Jun 2011 · letzter Beitrag vom 15. Jun 2011
Antwort Antwort
Seite 2 von 2     12
Benutzerbild von TheMiller
TheMiller

Registriert seit: 19. Mai 2003
Ort: Gründau
2.480 Beiträge
 
Delphi XE7 Architect
 
#11

AW: [PHP / MYSQL] Whitelist für SQL-Queries

  Alt 14. Jun 2011, 19:31
Hab's kapiert

Ne, danke euch für all die Infos und ich werde mich damit mal auseinandersetzen. Aber nicht mehr heute, sondern eher morgen
  Mit Zitat antworten Zitat
Benutzerbild von Valle
Valle

Registriert seit: 26. Dez 2005
Ort: Karlsruhe
1.223 Beiträge
 
#12

AW: [PHP / MYSQL] Whitelist für SQL-Queries

  Alt 14. Jun 2011, 20:48
Hallo,

du solltest dir eine Klasse schreiben oder suchen, welche dir den Umgang mit SQL erleichtert. Idealerweise solltest du einen Objektrelationalen-Mapper verwenden, kurz ORM. Damit kann sowas bei richtiger Benutzung prinzipiell nicht passieren. Gute Beispiele dafür wären CakePHP oder Doctrine. Weitere findest du hier.

Alternativ, wenn dir das lieber ist, kannst du auch einfach die Prepared Statements von PHP in einer Klasse kapseln und das Escapen selbst übernehmen. Ich würde dir hier aber den ORM empfehlen. Dieser ist zwar weitaus komplexer, allerdings auch wesentlich einfacher im späteren Verlauf des Projektes und hat viele weitere Vorteile. Ich arbeite bei neuen Sachen mittlerweile ausschließlich damit.

Schade eigentlich dass dir das bisher niemand gesagt hat. Meiner Meinung nach geht es nur so richtig.

Liebe Grüße,
Valentin
Valentin Voigt
BOFH excuse #423: „It's not RFC-822 compliant.“
Mein total langweiliger Blog
  Mit Zitat antworten Zitat
Benutzerbild von wicht
wicht

Registriert seit: 15. Jan 2006
Ort: Das schöne Enger nahe Bielefeld
809 Beiträge
 
Delphi XE Professional
 
#13

AW: [PHP / MYSQL] Whitelist für SQL-Queries

  Alt 14. Jun 2011, 21:04
Hier muss ich Valle ganz klar zustimmen und wenn er es nicht geschrieben hätte, wäre sein Post meiner . Nach Jahren mit SQL Frickelei bin ich sehr, sehr dankbar dafür, dass es sowas wie ORM gibt. Damit sollte man sich auf jedenfall beschäftigen.
http://streamwriter.org

"I make hits. Not the public. I tell the DJ’s what to play. Understand?"
  Mit Zitat antworten Zitat
Benutzerbild von alcaeus
alcaeus

Registriert seit: 11. Aug 2003
Ort: Dietersheim b. München
6.536 Beiträge
 
#14

AW: [PHP / MYSQL] Whitelist für SQL-Queries

  Alt 15. Jun 2011, 19:23
@Valle: das find ich jetzt scheisse von dir. Absolut scheisse. DAS IST MEIN TEXT!!!!!

Ich kann mich meinen Vorrednern nur anschliessen. Die Idee das SQL selbst zu parsen und versuchen, den Muell rauszuloeschen ist die duemmste Verteidigung die dir gegen SQL-Injection einfallen kann. Nimms mir nicht uebel, aber mit ziemlicher Sicherheit wird man das System mit Hilfe von geschickt platzierten Kommentaren, Quotes und Escape-Characters komplett aushebeln koennen.

Verwende Doctrine oder die PDO-Funktionen fuer MySQL in Verbindung mit Prepared Statements und du wirst bis an dein Lebensende gluecklich. Und das ohne dass du ein weiteres Quadrat als Rad verkaufen musst

Greetz
alcaeus
Andreas B.
Die Mutter der Dummen ist immer schwanger.
Ein Portal für Informatik-Studenten: www.infler.de
  Mit Zitat antworten Zitat
Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche
Ansicht

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 22:34 Uhr.
Powered by vBulletin® Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2019 by Daniel R. Wolf