Zum Inhalt springen
View in the app

A better way to browse. Learn more.
Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

MySQL Befehle im Formularfeld abfangen

Gast alif
Gast alif
in Skript- und Webserverprogrammierung

Empfohlene Antworten

Moin,

mir hat man mal erzählt, dass man seine Formularfelder, welche Daten in die Datenbank speichern, vor "bösen" SQL Befehlen schutzen soll.

Nun habe ich z.B. sowas wie ein Gästebuch und möchte es vermeiden, dass da jemand auf die Idee kommt irgendwass drin einzutippen und mir damit meine Datenbank leert (Oder was man sonst noch mit sowas anstelen kann).

Mein Problem nun aber: Ich möchte nicht die Befehle wie "DROP", "DELETE" etc. verbieten, da diese Wörter tatsächlich vorkommen könnten.

Weiß jemand wie man sich sonst vor sowas schützen kann, oder vor welchen Befehlen man sich schützen sollte?

Wie nennt man sowas eigentlich? Google scheint mich nicht zu verstehen!

mir hat man mal erzählt, dass man seine Formularfelder, welche Daten in die Datenbank speichern, vor "bösen" SQL Befehlen schutzen soll.
Formularfelder zu schützen macht relativ wenig sinn, da sie nur die Darstellung der Werte übernehmen und sich nichts einfacher umgehen lässt als ein clientseitiger Schutz.

Weiß jemand wie man sich sonst vor sowas schützen kann, oder vor welchen Befehlen man sich schützen sollte? Wie nennt man sowas eigentlich? Google scheint mich nicht zu verstehen!

http://www.google.com/search?hl=de&ie=UTF-8&q=sql%20injection

Danke schon mal.

So nennt sich das also heutzutage! ;)

Ich bin kein Experte auf diesem Gebiet, aber eine Möglichkeit (selbstverständlich sollte man sich nicht nur darauf verlassen) sind (zumindest in MySQL) Prepared Statements.

Damit legst du die Abfrage fest und füllst nachher nur noch einen oder mehrere Werte ein. Wenn dann jemand eine SQL Injection versucht bricht die Datenbank die Abfrage ab.

Wenn dann jemand eine SQL Injection versucht bricht die Datenbank die Abfrage ab.
Nö, in der Tabelle wird dann schlicht und ergreifend der Wert hineingeschrieben ohne als SQL interpretiert zu werden. That's it!

Archiv

Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.

Zur Themenliste gehen

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.