Delphi-PRAXiS
Seite 2 von 2     12   
40 Beiträge dieses Themas auf einer Seite anzeigen

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Programmieren allgemein (https://www.delphipraxis.net/40-programmieren-allgemein/)
-   -   [PHP / MYSQL] Whitelist für SQL-Queries (https://www.delphipraxis.net/161058-%5Bphp-mysql%5D-whitelist-fuer-sql-queries.html)

TheMiller 14. Jun 2011 19:31
AW: [PHP / MYSQL] Whitelist für SQL-Queries
 
Hab's kapiert ;)

Ne, danke euch für all die Infos und ich werde mich damit mal auseinandersetzen. Aber nicht mehr heute, sondern eher morgen ;)

Valle 14. Jun 2011 20:48
AW: [PHP / MYSQL] Whitelist für SQL-Queries
 
Hallo,

du solltest dir eine Klasse schreiben oder suchen, welche dir den Umgang mit SQL erleichtert. Idealerweise solltest du einen Objektrelationalen-Mapper verwenden, kurz ORM. Damit kann sowas bei richtiger Benutzung prinzipiell nicht passieren. Gute Beispiele dafür wären CakePHP oder Doctrine. Weitere findest du hier.

Alternativ, wenn dir das lieber ist, kannst du auch einfach die Prepared Statements von PHP in einer Klasse kapseln und das Escapen selbst übernehmen. Ich würde dir hier aber den ORM empfehlen. Dieser ist zwar weitaus komplexer, allerdings auch wesentlich einfacher im späteren Verlauf des Projektes und hat viele weitere Vorteile. Ich arbeite bei neuen Sachen mittlerweile ausschließlich damit.

Schade eigentlich dass dir das bisher niemand gesagt hat. Meiner Meinung nach geht es nur so richtig. :)

Liebe Grüße,
Valentin

wicht 14. Jun 2011 21:04
AW: [PHP / MYSQL] Whitelist für SQL-Queries
 
Hier muss ich Valle ganz klar zustimmen und wenn er es nicht geschrieben hätte, wäre sein Post meiner :-D. Nach Jahren mit SQL Frickelei bin ich sehr, sehr dankbar dafür, dass es sowas wie ORM gibt. Damit sollte man sich auf jedenfall beschäftigen.

alcaeus 15. Jun 2011 19:23
AW: [PHP / MYSQL] Whitelist für SQL-Queries
 
@Valle: das find ich jetzt scheisse von dir. Absolut scheisse. DAS IST MEIN TEXT!!!!! ;)

Ich kann mich meinen Vorrednern nur anschliessen. Die Idee das SQL selbst zu parsen und versuchen, den Muell rauszuloeschen ist die duemmste Verteidigung die dir gegen SQL-Injection einfallen kann. Nimms mir nicht uebel, aber mit ziemlicher Sicherheit wird man das System mit Hilfe von geschickt platzierten Kommentaren, Quotes und Escape-Characters komplett aushebeln koennen.

Verwende Doctrine oder die PDO-Funktionen fuer MySQL in Verbindung mit Prepared Statements und du wirst bis an dein Lebensende gluecklich. Und das ohne dass du ein weiteres Quadrat als Rad verkaufen musst ;)

Greetz
alcaeus


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:45 Uhr.
Seite 2 von 2     12   
40 Beiträge dieses Themas auf einer Seite anzeigen

Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz