[bob]

Hallo, ich habe mich bei Wikipedia und google mal ein bisschen schlau gemacht bzgl. SQL-Injections über der URL.


Da habe ich gesehen das es relativ einfach ist ohne das escapen von Strings diese injections durchzuführen.

Meine Frage daher, ist dieser Code "sicher" vor injections?

PHP-Code:

$query = "SELECT * FROM artikel WHERE id='".mysql_real_escape_string($_GET['id'])."' "; 


Für weitere Tips und Links bzlg dieses Thema wäre ich dankbar!

PS:
Bevor ich gleich wieder ein Link an den Kopf geschmissen bekomme bzgl "warum sollte ich nicht SELECT * FROM verwenden" Das habe ich jetz einfahc mal nur so gemacht

ja eigentlich schon. du solltest aber vielleicht zuerst noch prüfen ob es sich bei der id um eine Zahl handelt oder gleich sowas

PHP-Code:

$id = preg_replace("/[^0-9]{1,}/",'',$_GET['id']);
$id = mysqli_real_escape_string($id); 


[Corvin]

http://forum.developers-guide.net/sh...t=688#post6010

[bob]

Kann man es nich besser so überprüfen

PHP-Code:

if (is_numeric($_GET['id'])) 

{
//meine artikel
}
else
{
fehlermeldung etc.. 
} 


Danke für den Link, ich habe den natürlich schon vorher gesehen ..
wollte nur mal wissen, ob es noch andere möglichkeiten gibt.


Vielen Dank,
bob

[robo47]

numeric kann auch ne komma-zahl sein

Da musst du mit is_int prüfen wenn du auf ne ganze zahl aus bist.

[bob]

"is_int(eger)" klappt nicht

if(!is_int($_GET['id']))
{
echo '<b>Die Artikel ID ist nicht gültig</b>';
}

Der Artikel z.B id=15 ist ganz klar vom Typ int, allerdings bekomme ich immer zu "hören" das Die artikel ID nicht gülig sei ...

[Ben]

$_GET['id'] wird als String übergeben. Das kannst du der Testausgabe mit var_dump() entnehmen.

Eine einfache Konvertierung mit (int) bringt jetzt nichts, weil auch "xyz" danach ein int wäre .. 0 wenn mich nicht alles täuscht.

Du kannst also entweder mit einem regulären Ausdruck sicherstellen, dass es sich um eine ganze Zahl handelt oder du nutzt z.B. die Funktion floor().

Im Beispiel:

PHP-Code:

<?php
     
     if(array_key_exists('ID', $_GET)) {
         
         
         /*
          * Diese Testausgabe des $_GET-Arrays zeigt, was man wissen will.
          * Der Wert der ID wird als String übergeben.
          */
         echo '<pre>';
         var_dump($_GET);
         echo '</pre>';
         
         $id = $_GET['ID'];
         
         if(is_numeric($id)) {
             
             /* 
              * falls es sich um eine Dezimalzahl handelt machen wir einfach eine ganze 
              * Zahl daraus
              */
             $id = floor($id);
             
             // jetzt kannst man die ID in einer SQL Anweisung verwenden
             echo '<p>Die ID ist ' . $id . '.</p>';
         }
         else {
             echo '<p>Die Artikel-ID ist vom falschen Typ.</p>';
         }

     }
         
     // Testlink ausgeben.
     echo '<a href="' . $_SERVER['PHP_SELF'] . '?ID=1">Artikel ID 1</a>
           <br />
           <a href="' . $_SERVER['PHP_SELF'] . '?ID=xyz">Artikel ID xyz</a>';
     
?>

Hier in Aktion:
http://developers-guide.net/scriptar...trol_types.php

Ist etwas kompliziert ... irgendwie ..

Grüße Ben.

[bob]

Dankeschön ...

[Lars]

Alternativ zu Konvertierung auch ein einfacher RegExp, wobei die Konvertierung natürlich schneller ist :]

PHP-Code:

if ( !preg_match('#^\d+$#', $_GET['id']) )