SICHERHEIT - real_escape

Beitrag von **ben78** » 21.01.2010, 00:00

mysql_real_escape_string&#40;&#41;

Ich habe mich mal etwas rumgegoogelt, aber nicht erwünschtes Ergebnis gefunden.

Meine Frage - für Euch vielleicht blöde Frage - lautet, ob der obenstehende Code nur Sinnvoll ist, wenn man eine Seite hat wo sich User einloggen bzw. registrieren können.

Oder ist er in Sachen Sicherheit für jede Seite gedacht, die mit MySQL in Verbindung steht.

Ich stelle vielleicht blöde Fragen, hat aber damit zu tun, dass ich mir nicht sicher bin und in sachen php noch ganz ganz frisch bin.

von **Anzeige von ABAKUS** »

Beitrag von **Anonymous** » 21.01.2010, 01:22

ist sinnvoll für alle Daten die von extern kommen...

Beitrag von **ben78** » 21.01.2010, 01:40

THX @ net(t)worker

Ich versuche schon seit 4,5 Stunden diesen Code in mein PHP Script einzubetten. Aber jedes Mal bekomme ich bzgl. des Codes eine Warning...Unknown Meldung. Kann mir B I T T E einer von Euch posten an welcher Stelle im Script der Code eingebettet gehört.

Code: Alles auswählen

mysql_real_escape_string&#40;$user&#41;,
mysql_real_escape_string&#40;$password&#41;&#41;;

Und jetzt die dümmste Frage, die ich hier stellen kann. Aber ich genieße ja noch Anfängerbonus...

...hehehe

In den Klammern kommt einmal $user und einmal $password vor. Bezieht sich das auf die bzw. meine Login Daten meiner MySQL-DB oder auf die User die sich auf der Seite anmelden können anmelden können?

UND

Wofür steht folgender Code? Er soll sehr wichtig für die Sicherheit sein.

Code: Alles auswählen

require mysql_real_escape_string&#40;$site&#41;;

Beitrag von **xoni** » 21.01.2010, 09:22

Hallo,

ich tippe mal darauf, das Du keine bestehende MySQL-Verbindung hast.

Beispielcode, der funktioniert:

Code: Alles auswählen

<?php
// Verbindung herstellen
$link = mysql_connect&#40;'mysql_host', 'mysql_user', 'mysql_password'&#41;
    OR die&#40;mysql_error&#40;&#41;&#41;;

// Anfrage erstellen
$query = sprintf&#40;"SELECT * FROM users WHERE user='%s' AND password='%s'",
            mysql_real_escape_string&#40;$user&#41;,
            mysql_real_escape_string&#40;$password&#41;&#41;;
?>

mehr dazu findest Du hier:
https://php.net/manual/de/function.mysq ... string.php

auf die User die sich auf der Seite anmelden können anmelden können?

Ja

Beitrag von **ben78** » 21.01.2010, 22:48

Bei meinem Projekt können sich keine User anmelden und registrieren. Das einzige, wofür ich meine MySQL-DB brauche, sind CSV Datein mit Datensätze eines Kunden, die in einer MySQL-Tabelle gespeichert und per PHP als HTML ausgelesen werden sollen. User können dann in Form von Sucheingaben nach Datensätze suchen.

Also benötige ich doch folgenden Code NICHT für meine Website?

Code: Alles auswählen

mysql_real_escape_string&#40;$user&#41;
mysql_real_escape_string&#40;$password&#41;

Ich habe folgenden Zeile in meinem PHP Script:

Code: Alles auswählen

$sql = "SELECT * FROM meineTabelle";

Beitrag von **TheRob** » 21.01.2010, 22:54

Bei mysql_real_escape_string geht es auch nicht um Passwörter oder Usernamen, sondern allgemeine Eingaben mit denen du Abfragen bestückst.
Sobald der Anwender die Möglichkeit hat in eine SQL Abfrage einzugreifen, brauchst du den Filter um zu verhindern das er eigene Abfragen senden kann. Beliebtestes Bsp.: delete * from table

Such mal nach Sicherheitsprobleme php/mysql, da findest du noch weitere wichtige Dinge.

Beitrag von **ben78** » 21.01.2010, 23:00

D. H. also, dass jeder - sofern keine Sicherheitsvorkehrungen getroffen sind - den gesamten Inhalt meiner Talle löschen kann???

Beitrag von **TheRob** » 21.01.2010, 23:01

im Grunde... ja, auf manchen Sites geht das sogar richtig einfach.

(keine aufforderung zum testen...)

Beitrag von **ben78** » 21.01.2010, 23:35

Das habe ich auch nicht vor...Wäre ja dumm, sich und seine Zukunft wegen so was zu riskieren.

Beitrag von **Mork vom Ork** » 22.01.2010, 11:08

https://www.abakus-internet-marketing.d ... tml#676646