Werte mit trim, strip_tags usw. verarbeiten

[leuktra]

hallo zusammen,

könntet ihr bitte mal schauen, ob ich den eintrag der daten aus dem onlineformular in die
datenbank sicher umgesetzt habe - für hinweise (verbesserungen usw.) wäre ich sehr dankbar, da ich kein profi bin!

hier die kurzform:

$wert1 = trim($_POST['wert1']);
$wert2 = trim($_POST['wert2']);

...

$wert1 = strip_tags($wert1);
$wert2 = strip_tags($wert2);

...

if(get_magic_quotes_gpc()) 
{
$wert1 = stripslashes($_POST['wert1']);
$wert2 = stripslashes($_POST['wert2']);
} 
else
{
$wert1 = $_POST['wert1'];
$wert2 = $_POST['wert2'];
}

...

$result = "INSERT INTO tabelle (wert1, wert2) VALUES ('".mysql_real_escape_string($wert1)."', '".mysql_real_escape_string($wert2)."')";

usw.

 

[bossi]

Ich nutze eine Funktion für SQL-Injection

# mySQL Sicherheitssystem
function sqlcheck($string)
{
	if (get_magic_quotes_gpc()) $string = stripslashes($string);
	if (!is_numeric($string)) $string = "'" . mysql_real_escape_string($string) . "'";
	return $string;
}
$wert1 = sqlcheck$_POST['wert1']);
...
...

 

[leuktra]

hi bossi,

danke für deine antwort wenn ich das richtig verstehe, dann kann ich mein:

if(get_magic_quotes_gpc()) 
{
$wert1 = stripslashes($_POST['wert1']);
$wert2 = stripslashes($_POST['wert2']);
} 
else
{
$wert1 = $_POST['wert1'];
$wert2 = $_POST['wert2'];
}

durch deine funktion ersetzen?
im $result kann ich dann auch bei VALUES jeweils '".mysql_real_escape_string($wert)."' weglassen?

 

[bossi]

Genau, kannst dir alles sparen und dann die SQL-Anweisung wie folgt nutzen:

query("UPDATE tabelle1 SET wert1=".sqlcheck($_POST['wert1'])." WHERE id='".$_POST['id']."' ");

 

[leuktra]

Ich habe das jetzt so gemacht - ist das richtig?

function sqlcheck($string)
{
if (get_magic_quotes_gpc()) 
$string = stripslashes($string);
if (!is_numeric($string)) 
$string = "'" . mysql_real_escape_string($string) . "'";
return $string;
}
$wert1 = $_POST['wert1'];
$wert2 = $_POST['wert2'];
}

$result = "INSERT INTO tabelle (wert1, wert2) VALUES ('$wert1', '$wert2')";

oder muß es bei VALUES

VALUES ('".sqlcheck($_POST['wert1'])."', '".sqlcheck($_POST['wert2'])."')

lauten? eher nicht, oder?

 

[bossi]

function sqlcheck($string)
{
    if (get_magic_quotes_gpc()) $string = stripslashes($string);
    if (!is_numeric($string)) $string = "'" . mysql_real_escape_string($string) . "'";
    return $string;
}

VALUES ('".sqlcheck($_POST['wert1'])."', '".sqlcheck($_POST['wert2'])."')

 

[leuktra]

hi bossi,

danke für die rückantwort - ich habe das jetzt angepaßt!

ich habe mal noch eine (vielleicht etwas doofe) frage: sollte man die werte aus
auswahllisten, radio-buttons und checkboxen auch auf "sicherheit" prüfen? eigentlich nicht, oder?

 

[bossi]

Nein eigentlich nicht, kannst dann als Erledigt markieren

 

[leuktra]

oki ... danke

 

[leuktra]

bekomme plötzlich folgende fehlermeldung:

Fatal error: Call to undefined function sqlcheck()