$_GET Sichern (SQL-Injection,...)

[enrico2910]

Hallo Leute,

Habe da mal eine Frage zum Thema $_GET-Variable sicher machen.

Da mysqli_real_escape_string anscheinend nicht bei $_GET-Variablen funktioniert bin ich auf der suche nach einer alternative und mir ist dazu etwas eingefallen. Nun wollte ich fragen ob das so funktioniert bevor ich meinen ganzen Code umbaue.

ich habe zum Beispiel diese Sache an meinem Link angehängt:

?kat=apple

Nun ziehe ich mir das via $_GET und speichere das in eine Variable.

$kat = $_GET['kat'];

Nun wollte ich via str_replace alles ausschließen was mit einer SQL-Abfrage zu tun hat. So zum Beispiel:

$ausschliesen = array('INSERT', 'SELECT', '*'); //Nur Beispiele
$kat = str_reaplace('$ausschliesen', '', $kat);

Würde das so funktionieren? Oder gibt es eine elegantere Lösung?

Liebe Grüße
Enrico

 

[Yaslaw]

Da mysqli_real_escape_string anscheinend nicht bei $_GET-Variablen funktioniert

Warum sollte das nicht gehen? $_GET ist auch nur ein normaler Array.

Ansonsten interessant: filter_input() und filter_input_array()

 

[enrico2910]

Hätte ja sein können das etwas dagegen Spricht.

Oder gibt es eine bessere Lösung?

 

[Bratkartoffel]

Hi,

nein, das mysql(i)_real_escape_string() ist die beste Lösung, abgesehen von Prepared Statements.

Grüße,
BK

 

[enrico2910]

Aber wenn ich

$kat = mysqli_real_escape_string($_GET['kat']);

eingebe, funktioniert meine Abfrage nicht mehr und ich bekomme keine Ausgabe mehr bei meiner Abfrage.

Liebe Grüße
Enrico

 

[Yaslaw]

Dann gib doch mal ein wenig mehr Infos. Siehe Dazu PHP MySQL Debug Queries

 

[merzi86]

@enrico mysqli_real_escape_string benötigt 2 Parameter (siehe php.net).

string mysqli_real_escape_string ( mysqli $link , string $escapestr )

 

[enrico2910]

Hallo Leute,

Habe meinen Fehler gefunden. Habe vorher vergessen die Datenbankverbindung einzutragen. So geht es nun:

$kat = mysqli_real_escape_string($db, trim($_GET['kat']));

Aber bin ich nun sicher, vor bösen Mächten von außen ^^^^^^****?

Oder gibt es noch weitere tolle Möglichkeiten um meine Seite vor Angriffen zu schützen?

Liebe Grüße
Enrico

 

[Bratkartoffel]

Hi,

wenn du Benutzereingaben auf deiner Seite ausgeben willst, dann immer mit htmlentities() absichern.
Somit hast du dann SQL-Injection und XSS abgesichert. Je nachdem ob XSRF für dich auch relevant ist, musst du das auch noch absichern. Das wird aber dann mehr Aufwand.

Zum Thema Sicherheit hab ich das hier gerade gefunden. Sieht interessant aus, habs selbst aber noch nicht gelesen

Grüße,
BK

 

[enrico2910]

Sieht interessant aus, habs selbst aber noch nicht gelesen

Lustig ^^

Benutzereingaben sind es in diesem Fall nicht. Ist eher eine Produktdatenbank die Auf mehrere Seiten ausgegeben wird. Zum Beispiel: Apple -> Iphone 5S -> Apple Iphone 5S

Danke für eure Hilfe. Endlich mal ein Forum wo man nicht gleich doofe Anworten bekommt