Frage zu SQL-Injections

joho_luke · 03.08.2010

hey leute,

wollt euch mal fragen, ob diese funktion sicher genug ist, um SQL-Injections zu verhindern?

PHP:

function checkString($string)
{
  $check = array();
  $check[] = "SELECT";
  $check[] = "DROP";
  $check[] = "INSERT";
  $check[] = "TABLE";
  $check[] = "CREATE";
  $check[] = "DELETE";
  $check[] = "UPDATE";
  $check[] = "WHILE";
  $check[] = "#";
  $check[] = "=";
  $check[] = "BETWEEN";
  $check[] = "OR";
  $check[] = "AND";
  $check[] = ":";
  $check[] = "//";
  $check[] = ";";
  $check[] = "'";
  $check[] = "-";
  $check[] = '"';

  $freigabe=true;

  foreach ($check as $array)
  {
    if(eregi($array, $string))
      $freigabe=false;
  }
   
  return $freigabe;
}

ausgeführt wird sie hier:

PHP:

if(!checkString($_POST['eintrag']))

vl habt ihr noch verbesserungsvorschläge

danke für eure hilfe

gruß j_l

SeFoDo · 03.08.2010

AW: Frage zu SQL-Injections

könntest noch auf iframes, flash, java und javascript prüfen.. außerdem vieleicht noch auf aneinanderkettung von hex 0x09.

jens260181 · 03.08.2010

AW: Frage zu SQL-Injections

ich würde das hier noch verwenden:

mysql_real_escape_string($meine_boesen_daten);