mikrocontroller.net

Forum: PC-Programmierung Slashes aus esapen bei php?


Autor: rik (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Möchte gerne FOrmeln auf meiner Seite ausgeben. Jedoch werden diese 
FOrmeln zuerst in eine Datenbank geschrieben, und dann erst wieder 
geladen und dann in ein png umgewandelt. Vor dem Einspeichern in die DB 
mache ich ein mysqli_real_escape_string damit ja nichts HTML mäßiges in 
die DB kommt. Jedoch funktioniert das dann in Latex nicht, da das 
Backslash verschwindet.
Könnte es in irgendeiner Form für den Hacker einfacher werden meine 
Seite kaputt zu machen oder gar einen Weg zu finden Informationen aus 
der DB zu bekommen, weil ich eben die \ nicht entferne?

Und wenn nein, wie kann ich mysqli_real_escape_string verwenden und 
dabei die \ weglassen?

Autor: Mark Brandis (markbrandis)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Du meinst wohl eine Anfälligkeit gegen SQL Injection. Ob die bei Deinem 
System besteht oder nicht, können wir Dir nicht sagen, weil wir dafür zu 
wenig Informationen über Dein System haben. Hat der Benutzer denn 
überhaupt die Möglichkeit, beliebige Eingaben z.B. über ein Textfeld zu 
machen? Wenn nein, dann willst Du hier vielleicht ein Problem beheben 
das in Deinem Fall womöglich gar nicht besteht.

Wie man SQL Injection verhindert, kann man unter anderem hier nachlesen:
http://en.wikipedia.org/wiki/SQL_injection#Mitigation

Prepared Statements sind in aller Regel die bessere Wahl im Vergleich zu 
"Slashes aus escapen".

: Bearbeitet durch User

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.