Sicherheit bei MySQL / SQL-Injection

Beitrag von **mcchaos** » 24.10.2005, 13:46

Hallo!

Ich verwende schon länger MySQL im LAN, jedoch nun zum ersten Mal auf einem Webserver in einem Hosting-Paket. Welche Sicherheitsmaßnahmen muß ich beachten?

Im Prinzip kann der Datenbankserver doch sowie nicht von "außen" angesprochen werden (SSH gibts nicht), sondern nur über das beim Hoster installiert PHPAdmin. Darüber muß ich mir wohl keine Gedanken machen - oder?.

Nun sind dann in den entsprechenden PHP-Scripten das Passwort ja auch immer mit drin - geht wohl nicht anders, erscheint aber auch nicht schlimm - oder?

Ansonsten müßte ich halt aufpassen, dass mir niemand über ein Formular einen SQL-Befehl unterjubelt - wie mache ich das am besten, um alle Fälle anzudecken?

Wars das schon, oder habe ich was vergessen?

von **Anzeige von ABAKUS** »

SEO Consulting bei ABAKUS Internet Marketing
Erfahrung seit 2002

persönliche Betreuung
individuelle Beratung
kompetente Umsetzung

Jetzt anfragen: 0511 / 300325-0.

Beitrag von **axelm** » 24.10.2005, 14:44

Mysql Handbuch Sicherheit
in G. suchen, dito php Sicherheit

Beitrag von **mcchaos** » 01.12.2005, 15:55

Okay, habe mich nun damit beschäftigt. Eigentlich muß man ja nur sehen, dass alles was von "außen" kommt (Formular-Einträge, Query-Strings, URLs usw) und irgendwie in einem SQL-Statement verwurschtelt wird mit mysql_escape_string "entschärft" wird. Oder habe ich noch was übersehen?

Beitrag von **joghurtKULTUR** » 01.12.2005, 16:26

am besten nutzt du mysql_real_escape_string()

Beitrag von **Hobby-SEO** » 02.12.2005, 11:41

Halli hallo,

hätte jemand von Euch Lust, sich ein kurzes Kontaktformular-Script für phpbb anzusehen und hinsichtlich der Sicherheit vor SQL-Injection zu bewerten?

mysql_real_escape_string() wird darin nicht verwendet. Ich wüsste auch nicht, wie und wo das zu integrieren wäre - und ob es im Falle dieses Scripts überhaupt notwendig wäre.

Das php-Script ist, als .txt-Datei abgespeichert, hier zu finden: https://www.sendspace.com/file/ah02fv

Es ist übrigens eine Modifikation von folgendem Mod, nur dass keine E-Mails versandt werden sondern die Kontaktanfragen ausschließlich in die phpbb-Datenbank geschrieben werden: https://www.phpbbhacks.com/download/3096

Es wäre schon hilfreich zu erfahren, ob ich mir um die Sicherheit der Datenbank meines phpbb-Boards Sorgen machen sollte...

LG und ein schönes Wochenende Euch allen!
Hobby-SEO

Beitrag von **marc75** » 02.12.2005, 12:12

mysql_real_escape_string() wird darin nicht verwendet. Ich wüsste auch nicht, wie und wo das zu integrieren wäre - und ob es im Falle dieses Scripts überhaupt notwendig wäre.

Code: Alles auswählen

	mysql_query&#40;"INSERT 
		INTO tabelle_text 
			&#40;text1, 
			text2&#41; 
			VALUES 
			&#40;'".mysql_escape_string&#40;$_POST&#91;'text1'&#93;&#41;."', 
			'".mysql_escape_string&#40;$_POST&#91;'text2'&#93;&#41;."'&#41;"&#41;;

je nach PHP Versionsnummer mysql_escape_string() oder mysql_real_escape_string()

$_POST[] ruhig vorher noch mit if(isset()) oder empty() prüfen.

Beitrag von **Hobby-SEO** » 02.12.2005, 12:44

@marc75:

Danke Dir vielmals für die Anregungen! Wäre ja gelacht, wenn wir es früher oder später nicht schaffen würden, eines der sichersten Kontaktformulare hinzubekommen.

LG, Hobby-SEO