Gruppen
- Top Gruppen
- Betriebsysteme
- Windows classik
- Linux
- BS-Sonstige
- Software
- Datenbanken
- Bildbearbeitung
- Audio/mp3/Video
- Security/Viren
- SW-Sonstige
- Hardware
- Mainboard/CPU
- Grafikkarten
- Peripherie
- Laptop/Notebook
- HW-Sonstiges
- Netzwerk
- Telefon,ISDN,Modem
- W-Lan
- NW-Sonstiges
- Programmierung
- PHP,ASP,Perl...
- Java,C++...
- Webseiten/HTML
- Sonstiges
- PC-Sonstiges
- Plauderecke
- SN Intern
- Test
/ Forum / Skripte(PHP,ASP,Perl...)
Skripte(PHP,ASP,Perl...)
Fragevon Mel vom 14.08.2019, 18:36 Options
SELECT, DELETE, usw. aus URL filtern
Hallo und einen guten Nachmittag nochmals,
ich wollte gerad eine URL aus Sicherheitsgründen auf den Inhalt kontrollieren.
Dazu wollte ich Begriffe wie "SELECT" oder "DELETE" usw. blocken.
Mir ist dazu nur folgendes eingefallen:
$reineurl = ereg_replace("DELETE","", $textvonurl);
Das müsste ich nun für alle Begriffe, die ich blocken will, schreiben.
Den Aufwand könnte man ja dann wohl mit einem entsprechenden Array verkürzen, aber dennoch frage ich mich, ob es nicht eine clevere Lösung gibt.
Hintergrund: Mit mysql_real_escape_string() löscht man ja noch nicht die Befehle wie "DELETE" usw. aus der URL sondern maskiert nur andere Sonderzeichen (soweit ich es verstanden hab). --> Gibt es da vielleicht einen Befehl, der speziell diese Befehle maskiert oder entfernt?
Vielleicht weiss ja jemand, wie man das normaerweise angeht...
Würde mich freuen,
Gruss Mel
ich wollte gerad eine URL aus Sicherheitsgründen auf den Inhalt kontrollieren.
Dazu wollte ich Begriffe wie "SELECT" oder "DELETE" usw. blocken.
Mir ist dazu nur folgendes eingefallen:
$reineurl = ereg_replace("DELETE","", $textvonurl);
Das müsste ich nun für alle Begriffe, die ich blocken will, schreiben.
Den Aufwand könnte man ja dann wohl mit einem entsprechenden Array verkürzen, aber dennoch frage ich mich, ob es nicht eine clevere Lösung gibt.
Hintergrund: Mit mysql_real_escape_string() löscht man ja noch nicht die Befehle wie "DELETE" usw. aus der URL sondern maskiert nur andere Sonderzeichen (soweit ich es verstanden hab). --> Gibt es da vielleicht einen Befehl, der speziell diese Befehle maskiert oder entfernt?
Vielleicht weiss ja jemand, wie man das normaerweise angeht...
Würde mich freuen,
Gruss Mel
Antwort 1 von ClemBra vom 18.08.2019, 22:42 Options
da mysql_real_escape auch ein einfaches Hochkomma (') entsprechend ersetzt kann ein Befehl gar nicht zur Ausführung kommen, da diese nur als normale Zeichenkette an die Datenbank übermittelt werden.
Beispiel aus php.net
Der fette Teil wird als String verstanden, nicht als SQL-Befehle.
Gruß Clemens
Beispiel aus php.net
aus
SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''
wird dann
SELECT * FROM users WHERE user='aidan' AND password='[b]\' OR \'\'=\'[/b]'
Der fette Teil wird als String verstanden, nicht als SQL-Befehle.
Gruß Clemens
Ähnliche Themen
Variable in Rows anweisung
morpheus__85 25.10.2007 - 76 Hits - 5 Antworten
Oracle SELECT Problem
dan_duesseldorf 29.11.2007 - 101 Hits - 1 Antwort
sql -> update mit select in einem select
lorenz6665 02.12.2007 - 114 Hits -
suchen und löschen bis nichts mehr gefunden wird
Tim85 15.03.2008 - 16 Hits - 5 Antworten
zeile einfügen
PeterHa 06.04.2008 - 58 Hits - 3 Antworten
Hinweis
Diese Frage ist schon etwas älter, Sie können daher nicht mehr auf sie antworten. Sollte Ihre Frage noch nicht gelöst sein, stellen Sie einfach eine neue Frage im Forum..
Neue Einträge
