Anti SQL Injection

Beginner

Wednesday, May 30th 2007, 10:38pm

hallo
wollt mal fragen wie man sich am besten vor sql injection/xss/ddos angriffen schützt?
also ich benutz immer

	Source code
1 2 3 4 5 6 7	function security($object) { addslashes($object); htmlspecialchars($object); return $object; }

und für IDs

	Source code
1 2	$id=$_GET['id']; settype($id, 'integer');

is das jetzt noch "hackbar"?

thx für antworten :rolleyes:

Go to the top of the page

Prometheus

Administrator

Posts: 3,278

2

Wednesday, May 30th 2007, 10:51pm

Wenn Du z.B. ein Feld mit einem Wert aus einer Variable füllst in PHP dann würde ich das folgendermaßen machen.

	PHP Source code
1	feld = '".$variable."'

ansonsten sollte man bei nicht klar definierten Variableninhalten auf jeden Fall immer escapen damit der Inhalt auch korrekt in das entsprechende Feld eingetragen wird.

Jedwege Anfragen bitte an Technomausi oder ShaoKhan richten. Dieses Konto ist und bleibt inaktiv.

Go to the top of the page

Noisy

Trainee

Posts: 65

Location: Frankfurt

3

Thursday, May 31st 2007, 12:02pm

	PHP Source code
1	$str = mysql_real_escape_string($str);

schadet bestimmt auch nicht.

Klar, dass man eine ID immer überprüfen sollte ob es auch wirklich integer ist und vorallem in der URL.

Go to the top of the page

Coder Board Community

Anti SQL Injection

Anti SQL Injection

Source code

Source code

PHP Source code

PHP Source code

wcf.user.socialbookmarks.titel