[FenKeN]

Huhu Com,

ich wollt mich mal bei euch erkundigen, wie ihr das altbekannte SQL Injection-Problem löst.
Ich persönlich bevorzuge PDO (Seit php 5.? automatisch aktiviert).

$user = "Dein Username";
$pass = "Dein Passwort";

$pdo = new PDO("mysql:host=localhost;dbname=test", $user, $pass);

if(!$pdo)
    die("Keine Verbindung!");

$db = $pdo->prepare("SELECT * FROM users WHERE loginname = :name;");
$db->bindValue(':name',"irgendwas");
$db->execute();
$fetch = $db->fetch(); // mysql_fetch_array : $fetch[‘var’];

Die If kannst du natürlich auch durch ein Try - Catch ersetzen und dann eine PDOException werfen.

Wie löst ihr denn das Problem? Regex? Explizit auf Zahlen prüfen? ";" im String suchen und entfernen?

Dieser Beitrag wurde von CryztaN bearbeitet: 27. September 2011 - 07:30

[Witi]

Du machst es schon vollkommen richtig, Prepared Statements sind die Lösung gegen SQL Injections. Mehr musst du auch nicht machen.

[FenKeN]

Das ich es mit PDO erfolgreich verhindern kann, weiß ich auch .
Wollte eigentlich euch fragen, wie ihr SQL-Injection vermeidet - Jeder machts anders.

[Witi]

Nicht PDO. Stichpunkt sind wie gesagt, Prepared Statements! PDO ist lediglich eine Abstraktionsebene für einen Datenbankzugriff. Prepared Statements muss im Endeffekt das DBMS, wie MySQL unterstützen.

Und bei Prepared Statements musst du auch nichts mehr vorher filtern, das Konzept dahinter übernimmt das quasi alles für dich. Daher ist die Aussage "Jeder machts anders" so nicht korrekt, da sie nun mal _das Mittel_ gegen SQL Injections sind. Du darfst es allerdings nicht mit XSS verwechseln, bei XSS musst du tatsächlich Eingaben selbst filtern.

[TO_Webmaster]

Ja, genau! Ich benutze z.B. die Prepared Statements mit mysqli.

Prepared Statements haben übrigens noch einen Vorteil: Man kann das selbe Query relativ schnell mehrfach mit unterschiedlichen Werte ausführen.

MfG TO_Webmaster

[FenKeN]

Ich hab zwar verstanden, was du mit deinem letzterem Satz andeuten willst, aber könntest du mir fix ein Beispiel posten?

$db = $pdo->prepare("SELECT * FROM users WHERE loginname = :name;");
$db->bindValue(':name',"irgendwas");
$db->execute();

$db->bindValue(':name',"irgendwas anderes");
$db->execute();

So?

[TO_Webmaster]

Ich kenne mich zwar nicht genau mit PDO aus, aber ich denke, das sieht gut aus.

MfG TO_Webmaster

[FenKeN]

Ich danke euch.
intval() und mysql_real_escape_string() somit überflüssig ja?

[TO_Webmaster]

Solange du beim Preparen keine Variablen für die Tabellennamen, etc. verwendest (was du sowieso nicht tun solltest), sollte das im Prinzip überflüssig sein, ja.

[FenKeN]

Ich danke euch

[Holger_N]

Gibts da irgendwo eine Erklärung für, also wo man einen direkten Vergleich hat, mit ner Abfrage von früher und wo man da dieses prepare reinschreiben muß mit diesem komischen Pfeil?

[FenKeN]

Alt würde das wie folgt aussehen:

$con = mysql_connection("localhost",$user,$pass);
if(!$con)
   die("Keine Verbindung");

mysql_select_db("test");

$name=$_GET['name'];
$query = "SELECT * FROM users WHERE loginname=$name";
$sql = mysql_query($query);
$fetch = mysql_fetch_array($sql);

Wobei hier eben SQL Injection null verhindert wird. Da du für $name in der URL auch folgendes eingeben könntest:
'; DROP DATABASE test; --

mit '; <-- Machst du die erste Abfrage zu. Anschließend führst du DROP DATABASE test; aus und mit -- kommentierst du alles darauffolgende aus.
Somit wäre deine Datenbank futsch und der SQL Injector freut sich nen Ast.

Ich hoffe ich konnte dir helfen

Mit

$user = "Dein Username";
$pass = "Dein Passwort";

$pdo = new PDO("mysql:host=localhost;dbname=test", $user, $pass);

if(!$pdo)
    die("Keine Verbindung!");

$db = $pdo->prepare("SELECT * FROM users WHERE loginname = :name;");  //:name wird darunter deklrariert;
$db->bindValue(':name',"irgendwas"); //:name mit "irgendwas" füllen
$db->execute(); // Ausführen -> mysql_query($query);
$fetch = $db->fetch(); // mysql_fetch_array --> $fetch[‘var’];

Mit Prepared Statements verhindest du die oben gezeigte SQL Injection.

lg

[Witi]

Und sonst lassen sich mit mysqli Prepared-Statements durchführen: http://php.net/manua...qli.prepare.php
Oder sogar direkt in SQL: http://dev.mysql.com...statements.html

[Holger_N]

Aber so richtig funktioniert das mit den Platzhaltern auch nicht. Ich wollte jetzt in

UPDATE tabelle SET $variable = :zeit

$variable durch einen Platzhalter ersetzen, aber das geht irgendwie nicht.

[Witi]

:zeit ist das Platzhalter. Der Platzhalter ist der Wert für eine zu setzende Variable.