SQL Injections umgehen

Montero · 2. Januar 2014

Guten Morgen,
ich wollte Fragen, wenn ich einen "eigenen" MySQL Query schreibe, bzw, für den mysql_query einen stock erstelle, in dem ich dann den string escape, automatisch mir die Arbeit spare im Script vor jedem MySQL_Query ein real_escape_string einzufügen?

Beispiel:
stock self_mysql_query(string[])
{
mysql_real_escape_string(string, string);
mysql_query(string);
}

Wir nun jeder MySQL Query escaped? Oder ist das nur so einfach gedacht?:D

Sprich:
format(string, sizeof(string),"SELECT * FROM `houses` WHERE `HouseID` = '%d'", i);
self_mysql_query(string);
Wir das nun Escaped?

Slash™ · 2. Januar 2014

Eigendlich schon, probiers doch einfach aus.

Montero · 2. Januar 2014

Ich kenne mich mit das Injecton in Datenbanken etc nicht aus, daher weiß ich nicht wie ich das testen kann. Ich weiß nur, dass es gelegentlich Leute schaffen, sich durch solche Sicherheitslücken Vorteile zu verschaffen.

rud1 · 2. Januar 2014

Zitat von Montero

stock self_mysql_query(string[])
{
mysql_real_escape_string(string, string);
mysql_query(string);
}

Kannst du so nicht benutzen, dadurch wird, wie du schon angenommen hast, das gesamte Query escaped, wird also nutzlos.
Du musst einzelne Strings, die du in das Query einsetzt escapen.

Montero · 2. Januar 2014

Gut - Danke dir/euch!

Kevin1 · 2. Januar 2014

Zitat von Montero

Gut - Danke dir/euch!

Du kannst auch folgende Funktion benutzen:
http://wiki.sa-mp.com/wiki/MySQL#mysql_format

yfain · 2. Januar 2014

Dein Gedankengang ist aber schon richtig. Es macht auch wenig Sinn jedes mal soviel zu schreiben.
Du kannst Dir trotzdem eine solche Funktion für die Querys bauen.

Campbell · 2. Januar 2014

Das wird so nicht funktionieren. Du möchtest einen String escapen und nicht den gesamten Query! Schau dir das Tutorial zu Queries in meiner Signatur an!

breadfish.de 12. März 2022