AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Datenbanken Delphi serial von mysql db abfragen
Thema durchsuchen
Ansicht
Themen-Optionen

serial von mysql db abfragen

Ein Thema von madfighter04 · begonnen am 5. Jun 2008 · letzter Beitrag vom 11. Jun 2008
Antwort Antwort
Seite 4 von 4   « Erste     234   
blackdrake

Registriert seit: 22. Aug 2003
Ort: Bammental
618 Beiträge
 
Delphi 10.3 Rio
 
#31

Re: serial von mysql db abfragen

  Alt 11. Jun 2008, 21:12
Vorsicht bei dem vorher genannten PHP Script!

Eingaben dürfen niemals direkt in eine MySQL-Query eingehen, sondern müssen escaped werden! (SQL-Injektion Gefahr ~> Hacker)

Falsch:

Delphi-Quellcode:
<?php
mysql_query("SELECT ... WHERE serial = '$serial'");
?>
Korrekt:

Delphi-Quellcode:
<?php
$serial = $_GET['serial'];
mysql_query("SELECT ... WHERE `serial` = '".mysql_real_escape_string($serial)."'");
?>
Dein PHP-Script sollte außerdem etwas zurückgeben, das dein Programm überprüft, um eine Abfragenfälschung zu verhindern (z.B. durch Virtualisierung).

d.h. serialabfrage.php?serial=1234 gibt "abc" aus, serialabfrage.php?serial=5678 gibt "xyz" aus (eine abgeleitete Abbildungs/Hash-Funktion).

Einfach nur "OK" oder "Failure" über das PHP-Script zurückzugeben wäre unsicher.

Gruß
blackdrake

PS: Wenn du Hilfe beim PHP-Script hast, frag mich einfach mal. Das ist mir gut geläufig.
Daniel Marschall
  Mit Zitat antworten Zitat
Benutzerbild von Valle
Valle

Registriert seit: 26. Dez 2005
Ort: Karlsruhe
1.223 Beiträge
 
#32

Re: serial von mysql db abfragen

  Alt 11. Jun 2008, 21:20
Zitat von blackdrake:
VEingaben dürfen niemals direkt in eine MySQL-Query eingehen, sondern müssen escaped werden! (SQL-Injektion Gefahr ~> Hacker)
Das ist zwar richtig, aber eben nur halb. Hat eigentlich keiner mal was von magic_quotes gehört? Bevor ihr was escaped muss (wenn magic_quotes aktivuert sind), erstmal wieder "unescaped" werden. Also wenn, dann bitte so.

Code:
if (get_magic_quotes_gpc()) {
  mysql_query("SELECT ... WHERE `serial` = '".mysql_real_escape_string(stripslashes($serial))."'");
} else {
  mysql_query("SELECT ... WHERE `serial` = '".mysql_real_escape_string($serial)."'");
}
Und wem das zu umständlich ist, der kann auch die Lösung aus phpMyAdmin nehmen:

Code:
function PMA_arrayWalkRecursive(&$array, $function, $apply_to_keys_also = false)
{
    static $recursive_counter = 0;
    if (++$recursive_counter > 1000) {
        die('possible deep recursion attack');
    }
    foreach ($array as $key => $value) {
        if (is_array($value)) {
            PMA_arrayWalkRecursive($array[$key], $function, $apply_to_keys_also);
        } else {
            $array[$key] = $function($value);
        }

        if ($apply_to_keys_also && is_string($key)) {
            $new_key = $function($key);
            if ($new_key != $key) {
                $array[$new_key] = $array[$key];
                unset($array[$key]);
            }
        }
    }
    $recursive_counter--;
}

if (function_exists('get_magic_quotes_gpc') && get_magic_quotes_gpc()) {
    PMA_arrayWalkRecursive($_GET, 'stripslashes', true);
    PMA_arrayWalkRecursive($_POST, 'stripslashes', true);
    PMA_arrayWalkRecursive($_COOKIE, 'stripslashes', true);
    PMA_arrayWalkRecursive($_REQUEST, 'stripslashes', true);
}
Wenn möglich, magic_quotes einfach per php.ini abschalten UND diese Überprüfung im Code lassen. Wenn nicht, dann einfach mal an den Hoster wenden oder eben diesen (doch recht unperformanten) Code benutzen.

Mit freundlichen Grüßen,

Valle

Mit freundlichen Grüßen,

Valle
Valentin Voigt
BOFH excuse #423: „It's not RFC-822 compliant.“
Mein total langweiliger Blog
  Mit Zitat antworten Zitat
blackdrake

Registriert seit: 22. Aug 2003
Ort: Bammental
618 Beiträge
 
Delphi 10.3 Rio
 
#33

Re: serial von mysql db abfragen

  Alt 11. Jun 2008, 21:27
Ja, Magic Quotes... hat sich im Nachhinein als Flopp herausgestellt, weswegen es auch in PHP 6 abgeschafft wird und von vielen Hostern nicht angewandt wird.

Neben MagicQuotes gibt es ja noch diese DB Variante, bei der ' durch '' anstelle \' übersetzt wird.

Wenn die Serial aber gar keine Quotes enthält, weil es nur Alphanumerisch ist, braucht man sich um MagicQuotes keine Gedanken machen.
Daniel Marschall
  Mit Zitat antworten Zitat
Benutzerbild von Valle
Valle

Registriert seit: 26. Dez 2005
Ort: Karlsruhe
1.223 Beiträge
 
#34

Re: serial von mysql db abfragen

  Alt 11. Jun 2008, 21:42
Zitat von blackdrake:
Ja, Magic Quotes... hat sich im Nachhinein als Flopp herausgestellt, weswegen es auch in PHP 6 abgeschafft wird und von vielen Hostern nicht angewandt wird.
Das war auf jeden Fall ein Flopp. Und ich denke das wird auch richtig viel Stress geben, sobald die ersten Hoster auf PHP6 umstellen. Ok, das dauert noch seine Zeit, aber dennoch. Sehr sehr viele User kennen SQL-Injections nicht. Und auch mein letztes großes Projekt habe ich (dummerweise) auf magic_quotes aufbauen lassen. Die v2 des Projekts ohne magic_quotes ist aber in Arbeit...

Zitat von blackdrake:
Wenn die Serial aber gar keine Quotes enthält, weil es nur Alphanumerisch ist, braucht man sich um MagicQuotes keine Gedanken machen.
Ich habe den Thread nicht ganz gelesen, aber sofern der Code von dir hier stimmt, dann muss man sich da sehr wohl Gedanken machen: $serial = $_GET['serial']; Das ist doch ganz klar eine Eingabe des Users, das heißt sie muss auf jeden Fall escaped werden. Aber generell gilt ja: Lieber zu viel als zu wenig.

Mit freundlichen Grüßen,

Valle
Valentin Voigt
BOFH excuse #423: „It's not RFC-822 compliant.“
Mein total langweiliger Blog
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 4 von 4   « Erste     234   


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 03:40 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz