Chrisu
Erfahrenes Mitglied
Moinsen,
das mit den Hochkommas war auch kein Vorwurf sondern nur ein Hinweis. Ich weiß auch das man auf vielen Seiten im Internet so einen Hinweis findet. Leider sind diese Hinweise falsch und vermitteln einem ein Sicherheitsgefühl das nicht wirklich gegeben ist. Ich hab lange Zeit selber genau diese Sicherheitslücke auf vielen von mir erstellten Seiten gehabt (wie bei ca. 70-80% aller Webseiten im Internet übrigens auch). Und ich hab mich immer sicher gefühlt. Bis zu dem Zeitpunkt wo wir unsere Seiten mal von einer Sicherheitsfirma prüfen haben lassen. Und glaub mir, mir habe ganz schön die Ohren geschlackert als man mir die ganzen Sicherheitsprobleme aufgezählt hat. Ich hab zwei Stunden mit dem Sicherheitsexperten diskutiert und wir haben über gesprochen wie man eine Seite sicher bekommt. Und leider gehört die Methode mit dem Ausfiltern der Hochkommas nicht dazu. Die Hacker kennen viele Methoden genau diese Methode zu umgehen. Außerdem gibt es leider noch viele andere Zeichen wie ";" oder "--" die niemals in einen SQL-String geraten sollten. Aus diesem Grund sollte man auch niemals einen String nach unerlaubten Zeichen durchsuchen. Man vergisst mit 100%-Sicherheit irgendein Zeichen. Viel besser ist es wenn man nur erlaubte Zeichen durchlässt.
Ich will jetzt keine Hilfestellung schmälern oder kritisieren. Nichts liegt mir ferner. Dazu bin ich viel zu dankbar, dass es dieses Forum mit seinen vielen Helfern gibt. Ich möchte nur meine Erfahrungen und Erkenntnisse weitergeben und darauf hinweisen, was man dafür tun muss.
Ich weiß auch, dass so ein zusammengebauter SQL-String viel bequemer ist, aber bei der Sicherheit sollte man niemals sparen.
Also bitte nicht böse sein. Ich meinte es wirklich nur gut und wollte dich nicht kritisieren.
Schöne Grüße,
Chrisu
das mit den Hochkommas war auch kein Vorwurf sondern nur ein Hinweis. Ich weiß auch das man auf vielen Seiten im Internet so einen Hinweis findet. Leider sind diese Hinweise falsch und vermitteln einem ein Sicherheitsgefühl das nicht wirklich gegeben ist. Ich hab lange Zeit selber genau diese Sicherheitslücke auf vielen von mir erstellten Seiten gehabt (wie bei ca. 70-80% aller Webseiten im Internet übrigens auch). Und ich hab mich immer sicher gefühlt. Bis zu dem Zeitpunkt wo wir unsere Seiten mal von einer Sicherheitsfirma prüfen haben lassen. Und glaub mir, mir habe ganz schön die Ohren geschlackert als man mir die ganzen Sicherheitsprobleme aufgezählt hat. Ich hab zwei Stunden mit dem Sicherheitsexperten diskutiert und wir haben über gesprochen wie man eine Seite sicher bekommt. Und leider gehört die Methode mit dem Ausfiltern der Hochkommas nicht dazu. Die Hacker kennen viele Methoden genau diese Methode zu umgehen. Außerdem gibt es leider noch viele andere Zeichen wie ";" oder "--" die niemals in einen SQL-String geraten sollten. Aus diesem Grund sollte man auch niemals einen String nach unerlaubten Zeichen durchsuchen. Man vergisst mit 100%-Sicherheit irgendein Zeichen. Viel besser ist es wenn man nur erlaubte Zeichen durchlässt.
Ich will jetzt keine Hilfestellung schmälern oder kritisieren. Nichts liegt mir ferner. Dazu bin ich viel zu dankbar, dass es dieses Forum mit seinen vielen Helfern gibt. Ich möchte nur meine Erfahrungen und Erkenntnisse weitergeben und darauf hinweisen, was man dafür tun muss.
Ich weiß auch, dass so ein zusammengebauter SQL-String viel bequemer ist, aber bei der Sicherheit sollte man niemals sparen.
Also bitte nicht böse sein. Ich meinte es wirklich nur gut und wollte dich nicht kritisieren.
Schöne Grüße,
Chrisu
