[PHP] Formularfelder sichern

[Martu]

Hallo,

ich bräuchte mal eben Hilfe Und zwar wie kann ich mein selbstgecodetes Gästebuch davor schützen, dass jemand über das Eintragungsformular den PHP Code oder den MySQL Befehl infiziert?

Falls es nötig zu wissen ist: hab Ubuntu 7.10

Und die Startseite des Gästebuchs ist eine Index.php. Die einzelnen Seiten (Einträge ansehen, Eintrag schreiben, Impressum usw.) werden über ?wyw=write z.B. aufgerufen. Wie kann ich das sicher machen?

 

[theHacker]

Im FAQ-Forum unter Snipplets findest du eine Funktion, die dich vor SQL-Injections schützt.

 

[Astrodan]

Das hier hilft

 

[Martu]

Hm, habe ich das richtig verstanden? Diese Funktion dann in eine Include Datei schreiben, includen und dann jedes mysql_query mit db_query ersetzen?

 

[Astrodan]

Hm, habe ich das richtig verstanden? Diese Funktion dann in eine Include Datei schreiben, includen und dann jedes mysql_query mit db_query ersetzen?

ersetzen alleine reicht nicht, du musst noch alleine deine eingaben als parameter übergeben.. Beispiel ist ja dabei.. ich räum leider grad auf und deswegen komm ich sher schlecht an den pc, sonst würd ich mher schreiben

 

[Cosmoflamme]

Hier war zwar nur das Absichern von Formularfeldern gegen SQL-Injections gefragt,aber auf der Seite fehlt auch noch dringend ein Script,dass beim Abschicken des Formulars vorhandene HTML-Tags entfernt oder maskiert.
Ein Fehler,der ja leider immer noch öfters gemacht wird.

 

[Martu]

@Cosmoflamme:
Das geht dann mit der ersetzen-funktion von PHP, oder?

@Astrodan:
Hm, jetzt steh ich auf dem Schlauch Wie übergebe ich die Strings als Parameter? Sorry aber ich bin nicht sehr weit mit PHP, meine letzte Coderei ist ein halbes Jahr her

 

[Cosmoflamme]

Ich ja noch ein ziemlicher Neuling was PHP betrifft,aber mit htmlentities müsste das gehen.

 

[flaschenkind]

Ich ja noch ein ziemlicher Neuling was PHP betrifft,aber mit htmlentities müsste das gehen.

Wäre nicht das schlauste
addslashes() wäre besser, aber noch besser wäre mysql_real_escape_string()(die Funktion wird auch von der Query Funktion im Snippetsthread genutzt)

 

[ABC]

Noch zusätzlich gut ist du hast keine übergreifenden Rechte mit dem SQL User mit dem du deine Verbindung aufbaust. Der sollte auch keine Löschrechte von ganzen Tabellen haben. Also nie mit dem Admin konnekten.

Die Escape Probleme werden erst richtig lebhaft wenn zusätzlich noch rechte auf Dantenbanken wie Mysql bestehen.

mysql_real_ecscape String ist zwar nett, aber das einzig gefährtliche ist ein Semikolon ( ; ) das erlaubt einen weiteren Befehl einzuschelusen. Also wenn du auf den Otto verzichstest schaus du, dass du nach dem Bubi da -> ; in deinen Strings suchst und diese verhinderst. Der exscaper ' bzw " können dir ebenfalls gefährlich werden.

Wenn du gecodete Zeichen in Mysql zulässt würde ich die extra verbieten. Das ist kein PHP Bug, der ist in jeder Sprache möglich, die auf Mysql zugreift. Das ist wie mit register_globals on zu laufen. Fahrlässigkeiten werden bestraft.