 |
 |
 |
 |
 |
|
Registriert seit: 11. Okt 2003 Ort: Elbflorenz 44.342 Beiträge Delphi 12 Athens |
#3
AW: PHP - sind hier "Sicherheitsexperten" an Board?
1. Jul 2010, 20:34
Sehe ich das richtig, dass du keine Prepared-Statements verwendest?
Gründe u.a.: *) Besserer Schutz vor SQL-Injections Ja, im Code selber nutze ich sowas nicht, bzw. in einer etwas anderen Form vielleicht doch  ... das ist aber alles in der Datenbankklasse integriert.Einzig und alleine über die Feldnamen könnte man die "Schutzmaßnahmen", mittels bestimmter Prefixe absichtlich abschalten, aber von extern kommt man da nicht ran. Ein Insert war z.B. so möglich.
Code:
oder
function User_Set($Name, $Password, $Rights) {
global $Config; $Config['DB']->Insert('UserTable', array( 'Name' => trim($Name), 'Password' => $Password, 'Rights' => $Rights)); return $Config['DB']->LastResult; }
Code:
oder auch sowas
return $Config['DB']->Insert('UserTable', array(
'Name' => trim($Name), 'Password' => $Password, 'Rights' => $Rights));
Code:
hier würde der "feld ..."-Teil direkt übergeben
if ($DB->Update('Irgendwas', array('feld' => 12345))) ...
(hab halt keinen Query-Parser integriert)
Code:
man kann nur ein paar "grundlegende" Funktionen (mir reichen diese aber meistens aus) aufrufen, ihnen irgendwelche WHERE-, Feld- oder Daten-Listen mitgeben und dieses wird dann intern zusammengesetzt und z.B. über mysql_real_escape_string abgesichert/maskiert.
if ($DB->Update('Irgendwas', 'feld = 12345')) ...
if ($DB->Update('Irgendwas', array('feld = 12345', 'x' => 0))) ...
Ein Therapeut entspricht 1024 Gigapeut.
|
Zitat
|
ForumregelnEs ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus. Trackbacks are an
Pingbacks are an
Refbacks are aus
|
|
Baum-Darstellung
