PSD-Tutorials.de
Forum für Design, Fotografie & Bildbearbeitung
Tutkit
Agentur
Hilfe
Kontakt
Start
Forum
Aktuelles
Besonderer Inhalt
Foren durchsuchen
Tutorials
News
Anmelden
Kostenlos registrieren
Aktuelles
Suche
Suche
Nur Titel durchsuchen
Von:
Menü
Anmelden
Kostenlos registrieren
App installieren
Installieren
JavaScript ist deaktiviert. Für eine bessere Darstellung aktiviere bitte JavaScript in deinem Browser, bevor du fortfährst.
Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden.
Du solltest ein Upgrade durchführen oder einen
alternativen Browser
verwenden.
Antworten auf deine Fragen:
Neues Thema erstellen
Start
Forum
Sonstiges
Webdesign, Webentwicklung & Programmierung
PHP, Javascript, jQuery, Ajax, nodeJS, MySQL...
sichere Datenbankabfragen - prepared Statements?
Beitrag
<blockquote data-quote="d3mueller" data-source="post: 2369920" data-attributes="member: 568927"><p>Okay, danke schön. Hab es jetzt hingekriegt <img src="data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7" class="smilie smilie--sprite smilie--sprite1" alt=":)" title="Smile :)" loading="lazy" data-shortname=":)" /> mit bind_results() und fetch()</p><p></p><p>Was mir jetzt noch eingefallen ist, ist folgendes Szenario:</p><p></p><p>Angenommen ich habe einen String, der vom User eingegeben wurde. Der String besteht aus einer SQL-Attacke. Also irgendein Code, der z.B. eine Tabelle löschen würde.</p><p></p><p>Nun speichere ich das über ein prepared Statement ab. So sollte ja nichts passieren. </p><p>Aber wenn ich jetzt diesen in der Datenbank gespeicherten String wieder auslese und dann <em>ohne</em> ein prepared Statement in einer anderen Datenbanktabelle speichere, was passiert dann? Ist der String dann immer noch gefährlich? Also jetzt rein theoretisch.</p><p></p><p>Oder erkennt der das direkt beim prepared statement, dass es sich um einen Hacking-Versuch handelt, und gibt z.B. ne Exception aus?</p><p></p><p>Ich kann es nicht wirklich ausprobieren. Hab es mal versucht, aber ich kenne mich null aus mit SQL Injection^^. Hab mal im Internet nachgeschaut, aber er speichert alles trotzdem nur als normalen String in der Datenbank und zwar 1:1 wie ich es eingetippt habe. Keine Ahnung, ob der Code falsch war, oder die prepared Statements das abgefangen haben</p></blockquote><p></p>
[QUOTE="d3mueller, post: 2369920, member: 568927"] Okay, danke schön. Hab es jetzt hingekriegt :) mit bind_results() und fetch() Was mir jetzt noch eingefallen ist, ist folgendes Szenario: Angenommen ich habe einen String, der vom User eingegeben wurde. Der String besteht aus einer SQL-Attacke. Also irgendein Code, der z.B. eine Tabelle löschen würde. Nun speichere ich das über ein prepared Statement ab. So sollte ja nichts passieren. Aber wenn ich jetzt diesen in der Datenbank gespeicherten String wieder auslese und dann [I]ohne[/I] ein prepared Statement in einer anderen Datenbanktabelle speichere, was passiert dann? Ist der String dann immer noch gefährlich? Also jetzt rein theoretisch. Oder erkennt der das direkt beim prepared statement, dass es sich um einen Hacking-Versuch handelt, und gibt z.B. ne Exception aus? Ich kann es nicht wirklich ausprobieren. Hab es mal versucht, aber ich kenne mich null aus mit SQL Injection^^. Hab mal im Internet nachgeschaut, aber er speichert alles trotzdem nur als normalen String in der Datenbank und zwar 1:1 wie ich es eingetippt habe. Keine Ahnung, ob der Code falsch war, oder die prepared Statements das abgefangen haben [/QUOTE]
Bilder bitte
hier hochladen
und danach über das Bild-Icon (Direktlink vorher kopieren) platzieren.
Zitate einfügen…
Authentifizierung
Wenn ▲ = 5, ▼ = 2 und ■ = 7, was ist ▲ × ▼ + ■?
Antworten
Start
Forum
Sonstiges
Webdesign, Webentwicklung & Programmierung
PHP, Javascript, jQuery, Ajax, nodeJS, MySQL...
sichere Datenbankabfragen - prepared Statements?
Oben