Zitat von
blackdrake:
VEingaben dürfen niemals direkt in eine
MySQL-
Query eingehen, sondern müssen escaped werden! (
SQL-Injektion Gefahr ~> Hacker)
Das ist zwar richtig, aber eben nur halb. Hat eigentlich keiner mal was von magic_quotes gehört? Bevor ihr was escaped muss (wenn magic_quotes aktivuert sind), erstmal wieder "unescaped" werden. Also wenn, dann bitte so.
Code:
if (get_magic_quotes_gpc()) {
mysql_query("SELECT ... WHERE `serial` = '".mysql_real_escape_string(stripslashes($serial))."'");
} else {
mysql_query("SELECT ... WHERE `serial` = '".mysql_real_escape_string($serial)."'");
}
Und wem das zu umständlich ist, der kann auch die Lösung aus phpMyAdmin nehmen:
Code:
function PMA_arrayWalkRecursive(&$array, $function, $apply_to_keys_also = false)
{
static $recursive_counter = 0;
if (++$recursive_counter > 1000) {
die('possible deep recursion attack');
}
foreach ($array as $key => $value) {
if (is_array($value)) {
PMA_arrayWalkRecursive($array[$key], $function, $apply_to_keys_also);
} else {
$array[$key] = $function($value);
}
if ($apply_to_keys_also && is_string($key)) {
$new_key = $function($key);
if ($new_key != $key) {
$array[$new_key] = $array[$key];
unset($array[$key]);
}
}
}
$recursive_counter--;
}
if (function_exists('get_magic_quotes_gpc') && get_magic_quotes_gpc()) {
PMA_arrayWalkRecursive($_GET, 'stripslashes', true);
PMA_arrayWalkRecursive($_POST, 'stripslashes', true);
PMA_arrayWalkRecursive($_COOKIE, 'stripslashes', true);
PMA_arrayWalkRecursive($_REQUEST, 'stripslashes', true);
}
Wenn möglich, magic_quotes einfach per php.ini abschalten UND diese Überprüfung im Code lassen. Wenn nicht, dann einfach mal an den Hoster wenden oder eben diesen (doch recht unperformanten) Code benutzen.
Mit freundlichen Grüßen,
Valle
Mit freundlichen Grüßen,
Valle