Kommentatfunktion
Schaf im Wolfspelz
AW: Kommentatfunktion
Die Kommentare kommen in eine eigene Tabelle. Wichtig hier sind eine ID für jeden Kommentar (AUTO_INCREMENT PRIMARY KEY) sowie eine Verlinkung mit den Kommentaren vom Typ "is_comment_of_this_article_id"; naja, ab dann kommen nur noch Datenfelder (Name, eMail, Texteintrag, ...).
Wirklich wichtig ist eigentlich nur, dass du ordentlich gegen SQL-Injections geschützt bist, sprich jede theoretisch wie auch immer vom Benutzer machbare Eingabe muss mit mysql_real_escape_string() maskiert werden.
Spamschutz ist auch zu empfehlen, sonst läuft dir irgendwann das Ding über, selbst handgeschriebene Formulare sind bei weitem nicht sicher. Zu letzterem hab ich hier ein paar Ideen sowie eine Beispielimplementierung veröffentlicht.
Die Kommentare kommen in eine eigene Tabelle. Wichtig hier sind eine ID für jeden Kommentar (AUTO_INCREMENT PRIMARY KEY) sowie eine Verlinkung mit den Kommentaren vom Typ "is_comment_of_this_article_id"; naja, ab dann kommen nur noch Datenfelder (Name, eMail, Texteintrag, ...).
Wirklich wichtig ist eigentlich nur, dass du ordentlich gegen SQL-Injections geschützt bist, sprich jede theoretisch wie auch immer vom Benutzer machbare Eingabe muss mit mysql_real_escape_string() maskiert werden.
Spamschutz ist auch zu empfehlen, sonst läuft dir irgendwann das Ding über, selbst handgeschriebene Formulare sind bei weitem nicht sicher. Zu letzterem hab ich hier ein paar Ideen sowie eine Beispielimplementierung veröffentlicht.
Schaf im Wolfspelz
AW: Kommentatfunktion
... wenn du's nicht machst steht jedem Angreifer eine schöne SQL-Hintertür offen.
PHP: mysql_real_escape_string - Manual
... wenn du's nicht machst steht jedem Angreifer eine schöne SQL-Hintertür offen.
Aktives Mitglied
AW: Kommentatfunktion
vielen dank erst einmal... aber irgendwie verstehe ich das noch nicht ganz...
Also ich habe folgende Befehl:
Was muss ich dann mit mysql_real_escape_string() maskieren... Warum, was bewirkt das dann? Wie könnte eine SQL Injection auf diesen Befehl aussehen, was würde sich machen... Vielen DAnk das mir hier so gut geholfen wird. PHP Manual verstehe ich irgendwie immer nicht so richtig.
vielen dank erst einmal... aber irgendwie verstehe ich das noch nicht ganz...
Also ich habe folgende Befehl:
Code:
SELCET * FROM Tabelle WHERE ID = '20'Was muss ich dann mit mysql_real_escape_string() maskieren... Warum, was bewirkt das dann? Wie könnte eine SQL Injection auf diesen Befehl aussehen, was würde sich machen... Vielen DAnk das mir hier so gut geholfen wird. PHP Manual verstehe ich irgendwie immer nicht so richtig.
Schaf im Wolfspelz
AW: Kommentatfunktion
Alles was vom Benutzer kommt muss maskiert werden.
SELCET * FROM Tabelle WHERE ID = 20
Wenn die 20 z.B. von index.php?id=20 kommt, kann der Benutzer durch geschickte Manipulation der Zahl verschiedenste ungewollte SQL-Befehle ausführen:
index.php?id=10; DROP TABLE Tabelle;
... wird zu ...
SELCET * FROM Tabelle WHERE ID = 10; DROP TABLE Tabelle;
Die SQL-Injection oben ist zwar in PHP nicht machbar, da per mysql_query nur ein Befehl ausgeführt wird (d.h. nach dem ersten ";" wird alles ignoriert), aber es gibt genug andere Möglichkeiten. Bin bzgl. SQL nicht wirklich auf dem Laufenden, von daher kann ich dir dazu nicht mehr sagen.
Um das zu verhindern, musst du ungewünschte Angaben vom Benutzer abfangen. In deinem Fall oben sieht der PHP-Code wohl in etwa so aus:
Was du zulassen willst sind letztendlich nur Integer-Werte. Ich persönlich mache das immer rabiat mit expliziter Typenkonvertierung à la $_GET['id'], alternativ kannst du auch verwenden.
Für Strings gelten natürlich andere Regeln, hier macht es keinen Sinn irgendwas zu ner natürlichen Zahl zu konvertieren. Da aber im Fließtext auch SQL-Befehle stehen können, muss auch hier maskiert werden, und das geht mit mysql_real_escape_string. Was die Funktion letztendlich macht ist eigentlich nur das Hinzufügen von Backslashes vor riskante Zeichen wie z.B. Anführungszeichen, die eventuell zum Ausführen unerwünschter SQL-Befehle benutzt werden könnten.
(Schön ist daran auch, dass du dir um solche Zeichen nur beim Speichern Gedanken machen musst; bei der Ausgabe brauchst du also keine Funktion vom Typ mysql_real_unescape_string)
Alles was vom Benutzer kommt muss maskiert werden.
SELCET * FROM Tabelle WHERE ID = 20
Wenn die 20 z.B. von index.php?id=20 kommt, kann der Benutzer durch geschickte Manipulation der Zahl verschiedenste ungewollte SQL-Befehle ausführen:
index.php?id=10; DROP TABLE Tabelle;
... wird zu ...
SELCET * FROM Tabelle WHERE ID = 10; DROP TABLE Tabelle;
Die SQL-Injection oben ist zwar in PHP nicht machbar, da per mysql_query nur ein Befehl ausgeführt wird (d.h. nach dem ersten ";" wird alles ignoriert), aber es gibt genug andere Möglichkeiten. Bin bzgl. SQL nicht wirklich auf dem Laufenden, von daher kann ich dir dazu nicht mehr sagen.
Um das zu verhindern, musst du ungewünschte Angaben vom Benutzer abfangen. In deinem Fall oben sieht der PHP-Code wohl in etwa so aus:
PHP:
$Query = 'SELCET * FROM Tabelle WHERE ID = '.$_GET['id'];
mysql_query($Query);Für Strings gelten natürlich andere Regeln, hier macht es keinen Sinn irgendwas zu ner natürlichen Zahl zu konvertieren. Da aber im Fließtext auch SQL-Befehle stehen können, muss auch hier maskiert werden, und das geht mit mysql_real_escape_string. Was die Funktion letztendlich macht ist eigentlich nur das Hinzufügen von Backslashes vor riskante Zeichen wie z.B. Anführungszeichen, die eventuell zum Ausführen unerwünschter SQL-Befehle benutzt werden könnten.
(Schön ist daran auch, dass du dir um solche Zeichen nur beim Speichern Gedanken machen musst; bei der Ausgabe brauchst du also keine Funktion vom Typ mysql_real_unescape_string)
Zuletzt bearbeitet:
Willkommen auf PSD-Tutorials.de
In unseren Foren vernetzt du dich mit anderen Personen, um dich rund um die Themen Fotografie, Grafik, Gestaltung, Bildbearbeitung und 3D auszutauschen. Außerdem schalten wir für dich regelmäßig kostenlose Inhalte frei. Liebe Grüße senden dir die PSD-Gründer Stefan und Matthias Petri aus Waren an der Müritz. Hier erfährst du mehr über uns.
Nächster neuer Gratisinhalt
03
Stunden
:
:
25
Minuten
:
:
19
Sekunden
Flatrate für Tutorials, Assets, Vorlagen
Statistik des Forums