Möchte gerne FOrmeln auf meiner Seite ausgeben. Jedoch werden diese FOrmeln zuerst in eine Datenbank geschrieben, und dann erst wieder geladen und dann in ein png umgewandelt. Vor dem Einspeichern in die DB mache ich ein mysqli_real_escape_string damit ja nichts HTML mäßiges in die DB kommt. Jedoch funktioniert das dann in Latex nicht, da das Backslash verschwindet. Könnte es in irgendeiner Form für den Hacker einfacher werden meine Seite kaputt zu machen oder gar einen Weg zu finden Informationen aus der DB zu bekommen, weil ich eben die \ nicht entferne? Und wenn nein, wie kann ich mysqli_real_escape_string verwenden und dabei die \ weglassen?
Du meinst wohl eine Anfälligkeit gegen SQL Injection. Ob die bei Deinem System besteht oder nicht, können wir Dir nicht sagen, weil wir dafür zu wenig Informationen über Dein System haben. Hat der Benutzer denn überhaupt die Möglichkeit, beliebige Eingaben z.B. über ein Textfeld zu machen? Wenn nein, dann willst Du hier vielleicht ein Problem beheben das in Deinem Fall womöglich gar nicht besteht. Wie man SQL Injection verhindert, kann man unter anderem hier nachlesen: http://en.wikipedia.org/wiki/SQL_injection#Mitigation Prepared Statements sind in aller Regel die bessere Wahl im Vergleich zu "Slashes aus escapen".
:
Bearbeitet durch User
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.