mysql_query nach 3NF regel

[Gumbo]

Beide Funktionen sind nicht gleichzusetzen. Die mysql_real_escape_string()-Funktion ist zum Schutz vor SQL-Injektionen. Die htmlspecialchars()-Funktion dient jedoch nur der „Entschärfung“ von HTML-eigenen Schlüsselzeichen.

 

[kase]

ich weiss, aber gibt es noch mehr sicherheitsfunktionen?

 

[Gumbo]

Was genau stellst du dir denn unter einer Sicherheitsfunktion vor? Und wovor soll diese Sicherheitsfunktion schützen?

 

[kase]

weiss nicht, darum frage ich ja

ich finde
-mysqli_real_escape_string
und
-htmlspecialchars

sind Sicherheitsfunktionen da es Funktionen sind die einen vor Missbrauch usw. schützen

 

[Gumbo]

Prinzipiell kann fast jede Funktion – vor allem die Zeichenkettenfunktionen – dazu genutzt werden, um Missbrauch oder Sabotage vorzubeugen. Notfalls können fehlende Funktionen auch selbst geschrieben werden. Es ist nur notwendig zu wissen, welche Schlupflöcher zu stopfen sind.

 

[kase]

habe ich jetzt die POST/GET schlupflöcher gestopft?

 

[Gumbo]

Das kommt ganz darauf an, wie du die übergebenen Werte verarbeitest.

 

[kase]

die meisten werden in Datenbanken gespeichert oder werden dazu benutzt eine tabelle aus der Datenbank auszuwählen.

Also eigentlich zum grössten teil in verbindung mit DB's

 

[kase]

$query = "
       SELECT
			*
		FROM
			`".$prefix."_war_comments`
		WHERE
			`wid` = ".mysql_real_escape_string($_GET['W_ID'])."
		order by time
        ";

So wird das eingesetzt oder?

EDIT:

Und nochwas:

mysql_query("SELECT * FROM `konten_access` WHERE konto_id = '".$selectkonto."' && inhaber_id = '".$userid."'");

funktioniert doch oder?

UUUUUND nochwas:

ist $_SESSION sicher?

 

[Gumbo]

Es sollten alle Werte validiert werden, die von außen manipuliert werden können. Also alle per Get- oder Post-Methode übergebene Werte sowie Werte aus Cookies.