Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Hallo zusammen,

mich würde interessieren, mit welchen funktionen ihr die Eingaben der User "modifiziert" bevor ihr sie per SQL an die DB abgebt. (z.b. addslashes(), htmlspecialchars(),....)

Falls ihr eure Strings erst bei der anzeige modifiziert, welche funktionen dazu?

Danke im vorraus.

Geschrieben

also bei einer Oracle Datenbank kann man sich das sparen, sofern man für alle Eingaben Bind-Variablen verwendet :-) damit funktionieren SQL-Injection Attacks nämlich nicht, und wenn man damit leben kann das manche User halt Müll eintragen. Für die üblichen Verdächtigen gibt es ja haufenweise fertige Scripte die z.B. " " " oder ' oder \ escapen..

Geschrieben

Also ich escape je nach DB halt die einfachen und doppelten Anführungszeichen und speicher das dann auch so in der DB, so daß die üblichen Injenctions nicht möglich sind. Die restlichen Eingaben werden bei mir idR mit htmlspecialchars() angezeigt (oder halt mit nem Regex()-Ausdruck z.B. bei BBCode bei Gästebüchern oder so).

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...