Forum: PC-Programmierung Slashes aus esapen bei php?


von rik (Gast)


Lesenswert?

Möchte gerne FOrmeln auf meiner Seite ausgeben. Jedoch werden diese 
FOrmeln zuerst in eine Datenbank geschrieben, und dann erst wieder 
geladen und dann in ein png umgewandelt. Vor dem Einspeichern in die DB 
mache ich ein mysqli_real_escape_string damit ja nichts HTML mäßiges in 
die DB kommt. Jedoch funktioniert das dann in Latex nicht, da das 
Backslash verschwindet.
Könnte es in irgendeiner Form für den Hacker einfacher werden meine 
Seite kaputt zu machen oder gar einen Weg zu finden Informationen aus 
der DB zu bekommen, weil ich eben die \ nicht entferne?

Und wenn nein, wie kann ich mysqli_real_escape_string verwenden und 
dabei die \ weglassen?

von Mark B. (markbrandis)


Lesenswert?

Du meinst wohl eine Anfälligkeit gegen SQL Injection. Ob die bei Deinem 
System besteht oder nicht, können wir Dir nicht sagen, weil wir dafür zu 
wenig Informationen über Dein System haben. Hat der Benutzer denn 
überhaupt die Möglichkeit, beliebige Eingaben z.B. über ein Textfeld zu 
machen? Wenn nein, dann willst Du hier vielleicht ein Problem beheben 
das in Deinem Fall womöglich gar nicht besteht.

Wie man SQL Injection verhindert, kann man unter anderem hier nachlesen:
http://en.wikipedia.org/wiki/SQL_injection#Mitigation

Prepared Statements sind in aller Regel die bessere Wahl im Vergleich zu 
"Slashes aus escapen".

: Bearbeitet durch User
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.