Eingabe Formular Entgiften

O

Operaiter

Mitglied
Hallöchen alle zusammen,

ich habe ein Eingabe Formular, welches einen String mit einem Wert in einer Tabelle vergleichen soll.

Ganz einfach:
User gibt User Name + PW ein. Sachen werden verglichen. User bekommt Output.

Allerdings würde ich die Eingabe gerne überprüfen.
Ich habe mir überlegt welche Codes ich verwende wenn ich eine SQL Injection starte.

Select. Delete, Insert und Update.

Dieser Befehle würde ich nun gerne entschärfen.

Ich denke das ist relativ einfach.

If User schreibt das und das, stoppe Script und sag: Fuck you self!

Aber wie schreibe ich das in PHP Sprache?

Ich bin dem PHP leider noch nicht so mächtig.

Vll könnt ihr mir ja einen denkanstoß geben.
Vielen dank,
mfg Operaiter
 
Ja danke für deine Hilfe.

Habe zum Thema mysql_real_escape_string bei googel viel gefunden.

Allerdings habe ich das noch nicht so ganz verstanden.

Vielen dank!
mfg Schmitty
 
Im Prinzip musst du nur die Funktion mysql_real_escape_string($String); auf deinen String anwenden, welcher in die Datenbank kommt.
 
PHP: 
$query = sprintf("SELECT id,user,pass FROM user WHERE user='%s' AND pass='%s'",
            mysql_real_escape_string($_POST['user']),
            mysql_real_escape_string(md5($_POST['pass'])));

	$sql = @mysql_query($query);
	$result = @mysql_fetch_array($sql);

ist das so richtig?
also sicher?

ich kenn leider keinen "hackcode" um auszuprobieren ob das so auch funktioniert...

danke mfg
OP
 
imho dürfte das so keine Probleme aufwerfen.

Interessant wäre vielleicht noch das get_magic_quotes_gpc(), das macht schon slashes in deine Post-Werte rein. Wenn das aktiv ist sollten ersteinmal alle Slashes entfert werden (mit stripslashes()).
 
Hi

mysql_real_escape_string(md5($_POST['pass']));
Das kannst du dir Sparen, da in dem md5 verschlüsselten Passwort sicherlich keine Hackeingabe herauskommen wird ;)
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück