Sicherheit bei $_GET

[moevenschiss]

hallo zusammen!

nachdem ich jetzt öfters gehört habe, dass sql-injections eigentlich leicht möglich sind, hab ich mal ne frage zu dem thema. auf meiner seite nutze ich oft folgende links folgender form:

<a href="hotel.php?ort=Dortmund">Dortmund</a>

empfängt die seite hotel.php dann "ort", werden alle hotels aus dortmund aufgelistet. wie muss denn jetzt der code lauten, damit sql-injections nicht möglich sind. es soll also nur ein wort akzeptiert werden, nämlich der name des ortes. muss doch irgendwie über if (isset(...)) laufen. im php-magazin stand auch noch etwas von basename. da hört es aber für mich schon auf. hat jemand eine idee?

vielen dank schon mal im voraus für eure antworten!

 

[moevenschiss]

ist die frage zu dumm? sicherheit ist doch eigentlich ein thema, dass jeden in irgendeiner weise betrifft...

 

[melmager]

Nee zu dumm ist die Frage nicht nur du bist zu ungeduldig
Wenn es schnell gehen soll benutzt man die Suche hier

ach ja das Zauberwort
ist
mysql_escape_string

 

[Krypthonas]

Keine Ahnung was du meinst, ist mir auch egal. Solche Angaben macht man auch nicht per GET sondern per POST. Also Erstelle ein Link wo z.B. Dortmund steht das auf ein JS Funktion zielt. Dieser Fügt dies in ein Hidden Feld ein und Submitet automatisch.

Tata deine POST Methode ohne SQL Injs.

 

[melmager]

@Krypthonas
nette Idee aber immer noch knackbar :-(

 

[Gumbo]

Krypthonas, was machen die nicht Javascript-Nutzer?

 

[moevenschiss]

sorry wenn ich zu ungeduldig war... ;-) tja, mit dem letzten beitrag kann ich dann mal so rein nichts anfangen. ist ne nummer zu hoch für nen anfänger. aber es ist ja anscheinend auch egal was ich meine hab diese methode mit get halt sehr oft gelesen und danach dann meine skripte gebaut. aber man lernt ja nie aus. trotzdem danke für die antworten!

 

[moevenschiss]

habe noch nen link zu dem thema gefunden. vielleicht interessiert es ja den einen oder anderen.

http://www.dclp-faq.de/q/q-security-variablen.html

 

[Krypthonas]

@Gumbo,

DIe haben Pech gehabt. Wer sein JS selber deaktiviert schaut halt ins Leere. JS gehört zum Web dazu wie XML und HTML. Wer das verkennt ist einfach nur ein Dummy.

In diesem Sinne

 

[Chino]

Original geschrieben von Krypthonas
@Gumbo,

DIe haben Pech gehabt. Wer sein JS selber deaktiviert schaut halt ins Leere. JS gehört zum Web dazu wie XML und HTML. Wer das verkennt ist einfach nur ein Dummy.

Sorry, aber das ist Schwachsinn. Man kann einfach nicht erwarten, dass JavaScript 100% aktiviert ist, gerade bei so einer "einfachen" Funktion die man auch anders lösen kann. Klar, bei Seiten, die nur mit DHTML protzen, ist das eine andere Geschichte wie diese klar einen anderen Schwerpunkt legen, aber bei dem Deinem Beispiel macht es keinen großen Sinn die Besucher wegen sowas auszusperren