Delphi-PRAXiS
Seite 2 von 3     12 3      
40 Beiträge dieses Themas auf einer Seite anzeigen

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Object-Pascal / Delphi-Language (https://www.delphipraxis.net/32-object-pascal-delphi-language/)
-   -   Delphi PHP brücke ??? (https://www.delphipraxis.net/45238-php-bruecke.html)

alcaeus 2. Mai 2005 20:02
Re: PHP brücke ???
 
Zitat:
Zitat von Phoenix
Also: Finger weg von Autoglobals und NUR über die GET- bzw. POST-Variablen zugreifen. :warn:
Und um da noch eins draufzusetzen: wenn die Variablen in SQL-Statements eingebaut werden sollen, dann sollte noch einen Type-check machen. Fuer ints z.B.:
Code:
$foo = intval($_GET['foo'])
So kann man nicht SQL-Statements einschleussen, wenn man sowas hat:
Code:
SELECT * from foo_bar WHERE foo_id=$foo
Wenn ich keinen Typecheck mache, so kann ich ueber $foo ein SQL-Statement einschleussen und dieses ausfuehren lassen, so kann man z.B. die gesamte DB loeschen.

Greetz
alcaeus

yankee 2. Mai 2005 20:18
Re: PHP brücke ???
 
Zitat:
Zitat von Phoenix
Zitat:
Zitat von yankee
Geht nat. nur, wenn autoglobals aktiviert sind. Aber das ist eigentlich überall, weil auch nichts dagegen spricht.
:wall: Natürlich spricht das so ziemlich alles was Sicherheit angeht dagegen!
Sonst könnte man damit im Script verwendete Variablen einfach so überschreiben. Schlimmstenfalls sogar eigene SQL-Statements in die DB einschleusen. Also: Finger weg von Autoglobals und NUR über die GET- bzw. POST-Variablen zugreifen. :warn:
Klar, wenn man eine variable nicht initialisiertz, ist das ein sicherheitsrisiko. Aber auch einfach schlampig Programmiert.
Zum Beispiel
$sql .="blabla";
ist nat. schlecht. Wenn man sowas in einer Schleife benutzen möchte, nimmt man eben einfach $sql =""; davor.

@alcaeus:
man muss entweder das $ codieren (d.h. \$), denn sosnt hast eh ein Problem. Oder siehe oben, Variable initialisieren!

Wo ist das Problem??

alcaeus 2. Mai 2005 20:20
Re: PHP brücke ???
 
Zitat:
Zitat von yankee
@alcaeus:
man muss entweder das $ codieren (d.h. \$), denn sosnt hast eh ein Problem. Oder siehe oben, Variable initialisieren!
:gruebel: wenn ich habe:
Code:
$sql = "SELECT * FROM foo_bar WHERE foo_id=$foo";
dann muss ich nichts kodieren.

Greetz
alcaeus

yankee 2. Mai 2005 20:25
Re: PHP brücke ???
 
Zitat:
Zitat von alcaeus
Code:
$sql = "SELECT * FROM foo_bar WHERE foo_id=$foo";
dann muss ich nichts kodieren.
Kommt drauf an, welches Ergebnis du erreichen willst:
wenn in $sql das drin stehen soll:
Code:
SELECT * FROM foo_bar WHERE foo_id=$foo
dann musst du ein backsläsh vor das $ stellen, weil der PHP-Interpreter sonst den Inhalt der Variable $foo in den query reinschmeißt. Kann natürlich sein, dass der das nicht macht, wenn isset($foo) =false.
Aber mit einem Bäcksläsh sind alle Problem adé. Und wenn du beabsichtigst, dass der Inhalt der Variable $foo da drin steht, dann muss der Wert nat. auch irgendwo herkommen. Und dann wirst du eine konsequente Zuweiseung ($foo ="hallo") durchfüphren, die spätestetns jetzt nicht mehr von Autoglobals manipuiliert werden kann.

alcaeus 2. Mai 2005 20:27
Re: PHP brücke ???
 
:roll: Na klar will ich den Inhalt von $foo reinschreiben, deshalb das Beispiel oben mit der intval-Pruefung.

Greetz
alcaeus

yankee 2. Mai 2005 20:32
Re: PHP brücke ???
 
Zitat:
Zitat von alcaeus
:roll: Na klar will ich den Inhalt von $foo reinschreiben, deshalb das Beispiel oben mit der intval-Pruefung.
Und das geht mit Autoglobals also nicht, oder was willst du mir erzählen??

flomei 2. Mai 2005 21:20
Re: PHP brücke ???
 
Leute, register_globals und SQL Injections sind sicherlich ne interessante Sache aber nicht ganz das eigentliche Thema hier.

Es ging darum wie er am Besten von außen Zugriff auf seine Datenbank erhält. Angestrebt ist eine Lösung mit PHP und ich würde mich freuen wenn darüber jetzt weiter diskutiert werden könnte.

Danke.

MFG Florian :hi:

DGL-luke 2. Mai 2005 22:20
Re: PHP brücke ???
 
das heisst im endeffekt:

delphiprogramm meldet sich beim php-skript an -> php-skript meldet sich als localhost an der auf dem selben server residierenden mysql-db an.
und dann können über die brücke php-skript daten zwischen programm und db ausgetauscht werden.

theoretisch kein problem.

bate 3. Mai 2005 06:29
Re: PHP brücke ???
 
Zitat:
Zitat von yankee
Zitat:
Zitat von alcaeus
:roll: Na klar will ich den Inhalt von $foo reinschreiben, deshalb das Beispiel oben mit der intval-Pruefung.
Und das geht mit Autoglobals also nicht, oder was willst du mir erzählen??

http://de.php.net/register_globals

Hier zum nachlesen. Ich würde an deiner stelle nicht auf dieses feature "hoffen".

generic 3. Mai 2005 13:41
Re: PHP brücke ???
 
deine "brücken" nennt man in patternsprache proxy.

du kannst in php eine soap/wdsl schnittstelle programmieren.
dann lassen diese funktionen die du bereit stellst in jeder anderen programmiersprache/applikation nutzen.

dein client braucht dann noch nicht mal etwas von mysql wissen, sondern nur den webservice kennen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:28 Uhr.
Seite 2 von 3     12 3      
40 Beiträge dieses Themas auf einer Seite anzeigen

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz