Hallo
Ich denke gerade darüber nach ob ich $_SERVER['REQUEST_URI'] dafür verwende nur in bestimmten Fällen eine Datenbankverbindung aufzubauen.
Was spricht für diese Vorgehensweise und was spricht dagegen um Mysql Injection zu verhindern?
Gruß
Jörg
Wie stellst du dir das genau vor?
Man kann im Grunde alles für MySQL verwenden, und SQL-Injection darf eigentlich kein Thema sein (das zu verhindern sollte eigentlich das Unterbewusstsein automatisch machen).
Hallo Florian
Ich nehme die Abfrage vor meinetwegen ob die Url etwas gefährliches enthält. In dem Fall öffne ich auf gar keinen Fall die Datenbankverbindung und gebe eine 404er Seite dann zurück.
Ich sehe jetzt keinen Sinn darin die Datenbank durch Sicherheitsabfragen zu schützen wenn ich bereits vorher schon durch diese Abfrage in der Lage bin gar keine Verbindung aufzubauen.
Den genauen Code muss ich mir noch schreiben. Soll ich dir dann eine PN schicken zum Drüberschauen?
Gruß
Jörg
Die URL kann nichts gefährliches enthalten, genauso wie Inhalte von Formularen.
Sicherheitstechnisch gesehen wird\'s erst kritisch, wenn du Befehle mit diesen Komponenten zusammenbastelst, wie z.B. Systembefehle mit PHP oder MySQL-Statements. Dann muss man den Inhalt aber natürlich "entschärfen" und dazu reicht bei MySQL mysql_real_escape_string(), egal welcher Art der Input ist.
Wenn du die MySQL-Verbindung aufbaust, verwendest du ja keine "externen Komponenten" und daher ist das nicht gefährlich. Es kommt also nicht drauf an, ob du die Verbindung aufbaust oder nicht.
Wenn ich es richtig sehe, geht es dir in erster Linie darum, eine Fehlerseite anzuzeigen bzw. auf eine Fehlerseite weiterzuleiten.
Ob die MySQL-Verbindung aufgebaut wird, ist davon erstmal unabhängig, auch eine Fehlerseite kann eine MySQL-Verbindung benötigen (z.B. zum Loggen der fehlerhaften URLs).
Hallo
Ich glaube ihr beide versteht mich nicht so ganz richtig worauf ich hinaus will.
de.wikipedia.org/wiki/SQL-Injection
Du kannst es machen und es wird deiner Seite nicht schaden, aber letztendlich auch nicht wirklich zur Sicherheit beitragen.
Letztendlich musst du halt bei jeder Query die Query selbst z.B. durch mysql_real_escape_string absichern. Eine Vorabfilterung anhand der Request-Uri ist zwar möglich, bringt dir aber keine erhöhte Sicherheit (die Queries selbst müssen schließlich schon sicher sein).
Wenn du mich fragst, gibt es sinnvollere Dinge, die man mit seiner Zeit machen kann, aber wenn du das gerne einmal umsetzen möchtest, warum nicht, Ãœbung macht den Meister.
Hallo Oskar
Ich habe nichts gegen solche Fingerübungen.
Es fördert halt eben mein Verständnis.
Sinnvoll finde ich es schon denn damit habe ich ein Skript was $_SERVER[\'REQUEST_URI\'] verwendet aufgebaut. Ausser jetzt einer Seite wo ich mit der Eingabe im Browser die Ausgabe beeinflussen kann fällt mir momentan kein Sinn dafür ein.
Gruß
Jörg
Beitrag erstellen
EinloggenKostenlos registrieren