Hallo Users,
reicht es eigentlich nur die funktion
PHP
mysql_real_escape_string($_POST['var']);Um sich zu Schützen oder muss man andare möglichkeiten nutzen?
SQL Injection verhindern
-
Wenn du html verbieten willst müsste das reichen willst du html erlauben injektionen aber verhindern wirds schwerer
-
Wenn du html verbieten willst müsste das reichen willst du html erlauben injektionen aber verhindern wirds schwerer
Nö, wieso? Diese Funktion hat rein garnichts mit HTML zu tun. Diese Funktion macht lediglich bestimmte Zeichen im Query unbrauchbar, die bei Injections gefährlich werden.Das, was Du meinst wäre htmlspecialchars(). Aber das ist wieder eine andere Baustelle.
-
Das verstehe ich jetzt eig. nicht
Musst Du auch nicht, da es Schwachsinn ist, was er erzählt hat.
Um Deine Frage zu beantworten: Ja, reicht aus.
-
Wieso anders schützen? Passt doch alles. Nutz aber lieber mysqli und nicht mehr mysql.
-
Welche wären die andare möglichkeiten um sich zu schützen?
mysql_real_escape_string() zum Schutze vor SQL Injections (hat aber wie gesgat rein gar nichts mit HTML zu tun, wie NicoWiss meinte).
Schützen solltest Du Dich allerdings auch noch vor XSS (Cross Site Scripting).
Bei jeder Ausgabe, die vorher von einem Nutzer eingegeben wurde und auf dem Bildschirm ausgegeben werden soll, sollte mindestens bei der Ausgabe durch htmlspecialchars() gesichert werden, so werden eingegebene HTML Tags unbrauchbar und man kann bspw. nicht beim Aufruf der Seite auf eine virenversuchte externe Seite weiterleiten, was fatal wäre. -
Um bei Mysql sicher zu sein verwende am besten PDO
-
-
MySQL ist veraltet. Das ist schon ein Grund, warum man MySQLi verwenden sollte. Informier Dich einfach bisschen im Internet.