PHP: SQL Injection durch Scan der $HTTP_POST

Programmieren - alles kontrollieren 4.941 Themen, 20.708 Beiträge

PHP: SQL Injection durch Scan der $HTTP_POST_VARS verhindern

chas0r.de am 12.04.2007, 20:08 / 3 Antworten / Flachansicht

Hallo
gibt es eine Funktion, mit der ich die Arrays $HTTP_POST_VARS und $HTTP_GET_VARS auf etwaige SQL Injection Versuche überprüfen kann?

Dies müsste doch theoretisch der beste Weg sein, SQL Injections abzufangen.

Ideal wäre, wenn die Funktion die Arrays sichert und dann zurückgibt.
Also die SQL I. rausfiltert.

mfg chaser

Borlander

chas0r.de „PHP: SQL Injection durch Scan der $HTTP_POST_VARS verhindern“

12.04.2007, 22:46 Optionen

Dies müsste doch theoretisch der beste Weg sein, SQL Injections abzufangen.
Naja, nach dem Escapen für SQL-Abfragen sind die Variablen aber nicht mehr umbedingt für andere Ausgaben zu gebrauchen (wie z.B. die Ausgabe als HTML) und oftmals führt man dann auch noch weitere operationen durch bevor irgendwas in einem SQL-Query landet. Der sicherste Weg das Escapen nicht zu vergessen ist es wenn Du Direkt die Rückgabe von mysql_real_escape_string in die Abfrage übernimmst. Könntest die Funktion ggf. auch mittels array_walk auf die beiden Arrays loslassen...

Gruß
Borlander

Vor einiger Zeit habe ich dasselbe in einem Artikel entdeckt. Also hab ich ... wlaner 13.04.2007, 11:04

Das was Du da beobachtest hast sind die Magic-Quotes einstellbar . Die ... Borlander 13.04.2007, 17:38