sicherheitsleihe braucht hilfe..

[XIIZQ]

hallo,

da ich grad anfange mir nen kopf zu machen um die sicherheit meiner
zukünftigen seiten, bin ich auf einiges gestoßen, mysql_real_escape_script, isset oder empty und sogar das "neue" pdo.

was könnt ihr mir empfehlen?

ich habe in meinen scripten schon öfters isset verwendet und empty war auch schon vertreten, nur mysql_real_escape_string und pdo nicht und nach recherchen zufolge ist pdo nicht grad einfach, sollte ich mysql_r.. verwenden, gibt es da eine möglichkeit ein script zu schreiben das alle variablen escapt und man nicht immer den excapet befehl nutzen muss?


mfg

 

[Robbyn-]

AW: sicherheitsleihe braucht hilfe..

Du solltest immer einkommende Werte ($_POST, $_GET,$_REQUEST) gut überprüfen. Desweiteren, wie du schon festegstellt hast, sql abfragen/anfragen gut überprüfen mit real_escape_string.

Für das automatisierte schreiben des scape_string könntest du eine eigene mysql_query funktion schrteben die das übernimmt.


EDIT:

Für Variabeln überprüfungen könntest du folgendes verwenden:

$myVariable= trim(htmlentities(str_replace(array("\r\n", "\r", "\0"), array("\n", "\n", ''), $myVariable), ENT_QUOTES, 'UTF-8'));

EDIT2:

Eine automatisierte SQL Überprüfung könnte so aussehen:

<?php
$query = myQuery("username","users",array("id" => 1, "pwd" => 324234));


function myQuery($what, $table, $where)
{
	$value = "";
	foreach($where as $r => $v)
	{
		$value .= "$r = mysql_real_escape_string($v),";
	}
	
	$value = substr($value, 0, -1);
	
	return mysql_query("SELECT $what FROM $table WHERE $value;");	
}
?>

Du könntest auch noch den typ der Variable überprüfen, ob z.b. die Nummer 1 auch wirklich ein integer ist oder z.b. ein string. Könnte manchmal auch sehr wichtig sein.

 

[XIIZQ]

AW: sicherheitsleihe braucht hilfe..

uff, einige infos für mich die ich innen kopf hämmern muss..

wie kann ich denn deine automatisierung verstehen? ich versteh da grad bahnhof 0o

 

[Robbyn-]

AW: sicherheitsleihe braucht hilfe..

Deiner Frage zu urteilen hast du von php/mysql noch nicht viel ahnung?!

Ich hoffe die Funktion muss ich dir nicht erklären?! Die Funktion rufst du auf indem du 3 parameter mit anhängst. Der erste Parameter ist was du selektieren möchtest, der zweite paramter ist die tabelle die angesprochen werden soll, der dritte parameter ist ein array, das angibt was mit welchen wert gefiltert werden soll.

 

[XIIZQ]

AW: sicherheitsleihe braucht hilfe..

ahnung habe ich schon, nur kann ich deinem script keine zuordnung geben und ohne das ich weiss wie das script was anspricht oder was welche zeile und oder abschnitt bedeutet, steige ich da nicht durch, da du nichts kommentiert hast ^^

 

[Robbyn-]

AW: sicherheitsleihe braucht hilfe..

Das ist nur ein Ansatz, ich schriebe dir das Script nicht komplett. Hatte da auch keine Zeit alles mit Kommis volzupumpen.

Schau dir den Code genau an, da verstehst du schon was ich meine und wie man damit umgeht, ist nicht schwierig, der Code ist noch recht einfach gestrickt.

 

[Duddle]

AW: sicherheitsleihe braucht hilfe..

Oder du benutzt einfach Prepared Statements, dann musst du dir keine Sorgen mehr um die Maskierung machen.

Alle anderen Benutzereingaben maskierst du mit htmlspecialchars() und schon fängst du 99% ab.



Duddle