SICHERHEIT - real_escape

[ben78]

Code: Alles auswählen

mysql_real_escape_string()

Ich habe mich mal etwas rumgegoogelt, aber nicht erwünschtes Ergebnis gefunden.

Meine Frage - für Euch vielleicht blöde Frage - lautet, ob der obenstehende Code nur Sinnvoll ist, wenn man eine Seite hat wo sich User einloggen bzw. registrieren können.

Oder ist er in Sachen Sicherheit für jede Seite gedacht, die mit MySQL in Verbindung steht.


Ich stelle vielleicht blöde Fragen, hat aber damit zu tun, dass ich mir nicht sicher bin und in sachen php noch ganz ganz frisch bin.

[Anonymous]

ist sinnvoll für alle Daten die von extern kommen...

[ben78]

THX @ net(t)worker

Ich versuche schon seit 4,5 Stunden diesen Code in mein PHP Script einzubetten. Aber jedes Mal bekomme ich bzgl. des Codes eine Warning...Unknown Meldung. Kann mir B I T T E einer von Euch posten an welcher Stelle im Script der Code eingebettet gehört.

Code: Alles auswählen

mysql_real_escape_string($user),
mysql_real_escape_string($password));

Und jetzt die dümmste Frage, die ich hier stellen kann. Aber ich genieße ja noch Anfängerbonus......hehehe

In den Klammern kommt einmal $user und einmal $password vor. Bezieht sich das auf die bzw. meine Login Daten meiner MySQL-DB oder auf die User die sich auf der Seite anmelden können anmelden können?

UND

Wofür steht folgender Code? Er soll sehr wichtig für die Sicherheit sein.

Code: Alles auswählen

require mysql_real_escape_string($site);

[xoni]

Hallo,

ich tippe mal darauf, das Du keine bestehende MySQL-Verbindung hast.

Beispielcode, der funktioniert:

Code: Alles auswählen

<?php
// Verbindung herstellen
$link = mysql_connect&#40;'mysql_host', 'mysql_user', 'mysql_password'&#41;
    OR die&#40;mysql_error&#40;&#41;&#41;;

// Anfrage erstellen
$query = sprintf&#40;"SELECT * FROM users WHERE user='%s' AND password='%s'",
            mysql_real_escape_string&#40;$user&#41;,
            mysql_real_escape_string&#40;$password&#41;&#41;;
?>

mehr dazu findest Du hier:
https://php.net/manual/de/function.mysq ... string.php

auf die User die sich auf der Seite anmelden können anmelden können?

Ja

[ben78]

Bei meinem Projekt können sich keine User anmelden und registrieren. Das einzige, wofür ich meine MySQL-DB brauche, sind CSV Datein mit Datensätze eines Kunden, die in einer MySQL-Tabelle gespeichert und per PHP als HTML ausgelesen werden sollen. User können dann in Form von Sucheingaben nach Datensätze suchen.

Also benötige ich doch folgenden Code NICHT für meine Website?

Code: Alles auswählen

mysql_real_escape_string($user)
mysql_real_escape_string($password)

Ich habe folgenden Zeile in meinem PHP Script:

Code: Alles auswählen

$sql = "SELECT * FROM meineTabelle";

[TheRob]

Bei mysql_real_escape_string geht es auch nicht um Passwörter oder Usernamen, sondern allgemeine Eingaben mit denen du Abfragen bestückst.
Sobald der Anwender die Möglichkeit hat in eine SQL Abfrage einzugreifen, brauchst du den Filter um zu verhindern das er eigene Abfragen senden kann. Beliebtestes Bsp.: delete * from table

Such mal nach Sicherheitsprobleme php/mysql, da findest du noch weitere wichtige Dinge.

[ben78]

D. H. also, dass jeder - sofern keine Sicherheitsvorkehrungen getroffen sind - den gesamten Inhalt meiner Talle löschen kann???

[TheRob]

im Grunde... ja, auf manchen Sites geht das sogar richtig einfach.

(keine aufforderung zum testen...)

[ben78]

Das habe ich auch nicht vor...Wäre ja dumm, sich und seine Zukunft wegen so was zu riskieren.

[Mork vom Ork]

https://www.abakus-internet-marketing.d ... tml#676646