SQL Injections

[bodo2005]

Ist es nötig mysql_real_escape_string bei folgender Abfrage einzubauen?

mysql_query("SELECT * FROM $db ORDER BY datum DESC LIMIT $from, $umbruch")

Ist es nötig dies bei jedem bsw. per $_GET oder $_POST erhaltenen Befehl anzuwenden oder nur, wenn ich bsw. per WHERE Abfrage einen "Außen"-Wert einbinde???

$from wird mit $_GET['page'] belegt...

 

[tobiasge]

Hallo,

ich denke ein "mysql_real_escape_string()" ist hier nicht unbedingt nötig. Allerdings wäre es sinnvoll, die übergebenen Werte mit "is_numeric()" oder "is_integer" zu überprüfen, da bei falschen Angaben den Query nicht funktionieren wird.

Tobi

 

[bodo2005]

Vielen dank, ist es generell möglich per mysql_real_escape_string() auch bei nicht WHILE Abfragen einzubinden???

 

[HoRnominatoR]

was hat die php-funktion mit deinem sql-string zu tun? die laufen unabhaengig von einander.

 

[Siberian..Husky]

natürlich muss man diese funktion jedesmal benutzen wenn man irgendeinen wert, den man von aussen bekommen hat, in einer SQL abfrage benutzen will.

http://de.php.net/manual/en/function.mysql-real-escape-string.php

schließlich weißt du nicht was in diesen variablen drin steht wenn sie nicht von dir kommen. das problem dabei sind auch nicht werte die einfach nicht funktionieren, sondern werte die weitere SQL abfragen enthalten. wenn du die variablen aus dem beispiel oben so direkt aus $_POST oder $_GET übernimmst hat jeder benutzer ganz einfach zugriff auf deine gesammte datenbank.