SQL-Injection verhindern

Qwert · 20 September 2013

Hallo,

ich bin neu was SQL angeht und möchte eine Datenbank vor Angriffen schützen.

Reicht es aus, wenn ich die Zeichen ' und " nicht zur Verwendung erlaube und zusätzlich vor dem Eintragen eines Strings in die Datenbank den String an jeder zweiten Stelle durch ein beliebiges Zeichen erweitere:
Aus DROP TABLE tabelle wird also DdRdOdPd dTdAdBdLdEd dtdadbdedldlded

Vielen Dank!

akretschmer · 20 September 2013

Qwert schrieb:
Hallo,

ich bin neu was SQL angeht und möchte eine Datenbank vor Angriffen schützen.

Reicht es aus, wenn ich die Zeichen ' und " nicht zur Verwendung erlaube und zusätzlich vor dem Eintragen eines Strings in die Datenbank den String an jeder zweiten Stelle durch ein beliebiges Zeichen erweitere:
Aus DROP TABLE tabelle wird also DdRdOdPd dTdAdBdLdEd dtdadbdedldlded

Vielen Dank!

Hä?

Der beste Schutz vor SQL-Injection sind prepared Statements.

Qwert · 20 September 2013

War halt so eine Idee von mir

.

Aber vielen Dank für ein Stichwort, das mich weiterbringt.

Qwert · 20 September 2013

Habe nun aus einem Tutorial auf meine Anwendung übertragen:

<?php
mysql_connect("...","db","passwort") or die ("Keine Verbindung moeglich");
mysql_select_db("...") or die ("Die Datenbank existiert nicht.");

$stmt = $dbh->prepare("INSERT INTO datanbank(id, device_id) VALUES id, :did)");

$id = $_POST['id'];
$did = $_POST['device_id'];

$stmt->bindParam(':id', $id);
$stmt->bindParam(':did', $did);

$stmt->execute();

?>

So funktioniert es aber nicht. Was ich mich frage, ist, was mit der Variablen $dbh ist, da die ja nirgendwo definiert wird. Was habe ich falsch gemacht?

Danke!

akretschmer · 20 September 2013

Qwert schrieb:
Habe nun aus einem Tutorial auf meine Anwendung übertragen:

So funktioniert es aber nicht. Was ich mich frage, ist, was mit der Variablen $dbh ist, da die ja nirgendwo definiert wird. Was habe ich falsch gemacht?

Danke!

Du hast aus dem Tutorial falsch Copy&Paste gemacht ;-)

Qwert · 20 September 2013

Ok, ich habe die Zeilen

$stmt->bindParam(':id', $id);
$stmt->bindParam(':did', $did);

mit den Zeilen

$id = $_POST['id'];
$did = $_POST['device_id'];

vertauscht.

Geht aber immer noch nicht

.

EDIT: Und ich habe folgendes eingefügt:
$dbh = new PDO('mysql:host=host;dbname=dbname', 'user', 'passwd');

akretschmer · 20 September 2013

Qwert schrieb:
EDIT: Und ich habe folgendes eingefügt:
$dbh = new PDO('mysql:host=host;dbname=dbname', 'user', 'passwd');

Das ist PHP und hier OffTopic.

Qwert · 20 September 2013

Ok, dann frag ich wo anders..

SQL-Injection verhindern

Qwert

Benutzer

akretschmer

Datenbank-Guru

Qwert

Benutzer

Qwert

Benutzer

akretschmer

Datenbank-Guru

Qwert

Benutzer

akretschmer

Datenbank-Guru

Qwert

Benutzer

Ähnliche Themen