Zum Inhalt springen
View in the app

A better way to browse. Learn more.
Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

UserInput für die DB "vorbereiten"

Gast kills
Gast kills
in Skript- und Webserverprogrammierung

Empfohlene Antworten

Veröffentlicht

Hallo zusammen,

mich würde interessieren, mit welchen funktionen ihr die Eingaben der User "modifiziert" bevor ihr sie per SQL an die DB abgebt. (z.b. addslashes(), htmlspecialchars(),....)

Falls ihr eure Strings erst bei der anzeige modifiziert, welche funktionen dazu?

Danke im vorraus.

also bei einer Oracle Datenbank kann man sich das sparen, sofern man für alle Eingaben Bind-Variablen verwendet :-) damit funktionieren SQL-Injection Attacks nämlich nicht, und wenn man damit leben kann das manche User halt Müll eintragen. Für die üblichen Verdächtigen gibt es ja haufenweise fertige Scripte die z.B. " " " oder ' oder \ escapen..

Also ich escape je nach DB halt die einfachen und doppelten Anführungszeichen und speicher das dann auch so in der DB, so daß die üblichen Injenctions nicht möglich sind. Die restlichen Eingaben werden bei mir idR mit htmlspecialchars() angezeigt (oder halt mit nem Regex()-Ausdruck z.B. bei BBCode bei Gästebüchern oder so).

Archiv

Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.

Zur Themenliste gehen

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.