Jump to content
powie.de Tech Forum
Sign in to follow this  
k00ni

Checken der Eingaben in die Datenbank

Recommended Posts

Hallo,


was sollte man alles für Funktionen über eine Variable rutschen lassen, welche in einem SQL-Query verwendet wird.


Folgendes habe ich mir bereits überlegt:

- html blocken

- SQL-Sonderzeichen, wie einfache und doppelte Anführungsstriche, Semikolon blocken

- Wörter wie SELECT, FROM, WHERE und das "=" blocken


Sollte eine Variable diese enthalten bricht entweder die Routine ab oder die Zeichen werden auskommentiert.


Gedanken dazu? Was kann man noch einbauen? Gibt es sowas bereits als Implementierung in einem der pScripte?

Share this post


Link to post
Share on other sites

So habe aus einem alten Skript von mir folgende Funktion ausgekramt

 

function  check_variable_status ($variable_contents)
{  
$break = false;

for ($i=0; $i{
    if (strpos ($variable_contents [$i], "\"") OR 
        strpos ($variable_contents [$i], "'") OR
        strpos ($variable_contents [$i], "=") OR
        strpos ($variable_contents [$i], "<") OR
        strpos ($variable_contents [$i], ",") OR
        strpos ($variable_contents [$i], ";"))
   {
          $break = true;
          break;                
   }
}

return $break;    
} 

 

Sie erkennt sowohl HTML-Tags, als auch SQL-Statements.

Share this post


Link to post
Share on other sites

Danke, statt zu blocken, maskiert man einfach, auch nicht schlecht. Hab zu lange C# gemacht, kenne fast keine PHP-Funktionen mehr :ugly:

Share this post


Link to post
Share on other sites
Guest
You are commenting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×