SQL-Injection Vorbeugen...

[t-stephan]

Hallo ich wollte euch fragen wie man eine SQL-Injection verhindern oder bzw das Risiko minimieren kann?
In Wikipedia steht mit hilfe von Meta aber wie meinen die das?

 

[Wustersoss]

Bitte lies den wirklich gut gemachten Artikel SQL-Injection mindestens 2 mal durch und präzisiere anschliessend, wo du noch Verständnisschwierigkeiten hast.
Der Begriff Meta wird dort sehr gut erklärt, besser können wir es auch nicht.

Auszug:

Solche Metazeichen in SQL sind zum Beispiel der umgekehrte Schrägstrich (Backslash), das Anführungszeichen, der Apostroph und das Semikolon.

 

[t-stephan]

Ein Quellcode als beispiel würde eig. helfen
Also den Code wie man sich vor SQL Injectionen schützen kann

 

[Wustersoss]

Hallo ich glaube wir reden aneinander vorbei, aber du sagst auch nicht genau was du willst.
Auf der Seite sind Beispiele mit einem Angriff sehr deutlich dargestellt:

SQL-Injection

Solange du nicht präziser wirst, wirst du immer wieder den Link erhalten, da es keinen Sinn macht das alles abzuschreiben.

Edit:
Ebenso lesenwert ist http://de.php.net/manual/de/security.general.php und http://de.php.net/manual/de/security.variables.php sowie das ganze Thema Sicherheit im PHP-Manual.

 

[t-stephan]

KK habe es gelöst ich hab einen Freund gefragt der mir das erklärt hat

$name = mysql_real_escape_string($_GET["name"]);

Das meinte ich also wie soll ich es erklären falls ich eine Variable über die Url "mitgebe" dann mag ich sie maskieren und das ist dr code

 

[Wustersoss]

Genau, und das steht auch auf der Wikipedia Seite unter SQL-Injection

Ich habe ja nicht umsonst gesagt 2 mal lesen und dann fragen.

 

[struppi]

KK habe es gelöst ich hab einen Freund gefragt der mir das erklärt hat

$name = mysql_real_escape_string($_GET["name"]);

Das meinte ich also wie soll ich es erklären falls ich eine Variable über die Url "mitgebe" dann mag ich sie maskieren und das ist dr code

Mal abgesehen davon, dass du das nach dem (angeblichen) lesen der Seite, auch Wissen hättest können, war es bis dahin noch nicht mal kar, dass du von PHP sprichst und selbst dort gibt es auch andere (bessere) Wege. Steht aber auch auf wikipedia, insofern muss ich dir das eigentlich ja nicht sagen.