PHP und SQL-Injektion

[Sasser]

Hallo Leute!

Ich möchte mal das Thema SQL-Injektions ansprechen und möchte gern mal wissen welche die beste Lösung ist...

Es gibt ja sehr viel im Internet zu diesem Thema, aber was ist die effektivste Lösung für dieses Problem? Sollte mal alle ' durch \' und alle " durch \" ersetzen?

 

[splasch]

Ich möchte mal das Thema SQL-Injektions ansprechen und möchte gern mal wissen welche die beste Lösung ist...

Die Beste Lösung ist Sql injection nicht reinzulassen daher verwender die Treiber abschottung.

PDO oder mysqli

Dadurch wird das ganze gegen Sql injection imum

Mfg Splasch

 

[Sasser]

Ich habe bereits danach gegoogelt, aber ist das ein Modul welches ich installieren muss und es dann alle Abfragen prüft oder muss man trotzdem sein Script umbauen?

 

[kuddeldaddeldu]

Hi,

PDO oder mysqli

Dadurch wird das ganze gegen Sql injection imum

das wäre mir neu, dass die Treiber von vorne herein immun gegen SQL-Injection sind. Immerhin sind bei beiden auch escape-Funktionen verfügbar. Meintest Du vielleicht die Verwendung von Prepared Statements?

@Sasser: Du wirst nicht darum herumkommen, Deine Scripte anzupassen. Hier mal ein bischen Lesestoff für Dich: php|architect's Guide to PHP Security - Chapter 3: SQL Injection

LG

 

[Sasser]

Oh ich danke dir!

D.h. es reicht (meistens) wenn man die Variable, welche man für die Abfrage nutzt vorher escaped?

$var = mysql_real_escape_string($var);

 

[kuddeldaddeldu]

Hi,

jetzt gewöhn Dir doch mal ab, immer innerhalb von 5 Minuten die Lösung all Deiner Probleme zu erwarten. Lies das Kapitel doch erstmal und zwar langsam und gründlich, damit Du das auch verstehst. Dann erübrigt sich die Frage nämlich.

LG