SQL-Injection

zeigt fuer Leute, die sich damit auskennen, dass nicht die Hacker die gefaehrlichen, boesen Unbekannten sind, sondern die Softwareentwickler der Webseite keine Ahnung von dem hatten, was sie tun...

Das zeigt wieder einmal ganz deutlich: Sony legt es nicht nur mit Urheberrechtsfanatismus und Rechtsstreitigkeiten auf Racheakte an, sie haben auch kein gescheites Personal, welches irgendwelche Rechte und das Image, was Sony weitlaeufig hat, rechtfertigen wuerde.

es gibt einen einfachen befehl: mysql_real_escape_string man jage jede benutzereingabe dadurch und schon ist das problem solved

Vielleicht sollte sich sony umbenennen?
Oracle Japan für den Anfang?

Warum UNIX/Linux schaedlich ist:
'kill' macht Menschen zu brutalen, blutruenstigen Bestien,
'killall' zuechtet regelrecht Massenmoerder,
'whoami' loest bei psychisch labilen Personen Existenzkrisen aus!
'touch /dev/breasts' macht root zum Sex-Offender
******
macht aus nutzern raubmordhörer ohne klickibuntigui!

man sollte meinen, dass ein Konzern wie Sony

- sich anständige Entwickler leisten kann
- sich um seine Kundendaten ordentlich kümmert

Hanmac schrieb:
--------------------------------------------------------------------------------
> es gibt einen einfachen befehl: mysql_real_escape_string man jage jede
> benutzereingabe dadurch und schon ist das problem solved

Wer das verwendet gehört erschlagen, so komische Konstrukte sind schuld für den schlechten Ruf von PHP.

1.) *Alle* Eingabedaten filtern und validieren, wenn ich eine Zahl erwarte darf kein ;DROP durchkommen.

2.) Prepared Statements verwenden, mal PDO anschauen.

3.) Besser noch ein Framework verwenden, welches einem diese Arbeit abnimmt oder erleichtert.



1 mal bearbeitet, zuletzt am 24.05.11 15:29 durch lolig.

SQL-Statements "führt" man heute gar nicht mehr aus, sondern lässt diese über Methoden "generieren". Wie schon bereits schon mit PDO, Prepared Statements angesprochen hast.

SQL-Statements direkt mit User-Input befüllen und an die DB durchwinken ist heutzutage ein absolutes NO-GO. Wer sowas macht gehört fristlos entlassen!

jep, Drupal z.B.

Mister Tengu schrieb:
--------------------------------------------------------------------------------
> jep, Drupal z.B.

Drupal ist kein Framework sondern ein CMS. ;)

Framework wäre z.B. Zend Framework ( allrounder ) oder Doctrine ( DB/ORM )

azeu schrieb:
--------------------------------------------------------------------------------
> man sollte meinen, dass ein Konzern wie Sony
>
> - sich anständige Entwickler leisten kann
> - sich um seine Kundendaten ordentlich kümmert

Eben! Aber Pustekuchen is... <.<

Och wir verwenden es als Framework. Inhalt ist da schon fast nebensächlich.

azeu schrieb:
--------------------------------------------------------------------------------
> SQL-Statements "führt" man heute gar nicht mehr aus, sondern lässt diese
> über Methoden "generieren". Wie schon bereits schon mit PDO, Prepared
> Statements angesprochen hast.

ihr mit euren ewigen abstraction layers. Ich hoffe dass ihr irgendwann in einer welt mit einem broken framework aufwacht, in der keiner mehr die statements kennt, um es zu fixen. Mal ernsthaft, wenn man sich ein wenig beisammen nimmt, lässt sich mit direktem SQL viel eleganter arbeiten

> SQL-Statements direkt mit User-Input befüllen und an die DB durchwinken ist
> heutzutage ein absolutes NO-GO. Wer sowas macht gehört fristlos entlassen!

Auch das ist natürlich wahr. Aber die verifikation von benutzereingaben wird einem heutzutage ja leider nicht mal mehr beigebracht, nach dem Motto: Es wird schon eine exception geben!

Warum UNIX/Linux schaedlich ist:
'kill' macht Menschen zu brutalen, blutruenstigen Bestien,
'killall' zuechtet regelrecht Massenmoerder,
'whoami' loest bei psychisch labilen Personen Existenzkrisen aus!
'touch /dev/breasts' macht root zum Sex-Offender
******
macht aus nutzern raubmordhörer ohne klickibuntigui!

Hast völlig recht! Am besten wir Programmieren alle mit Assembler und lassen diese dämlichen Abstraktionsschichten weg.

Ja man kann es natürlich auch als "Framework" für die dort ausgeführten Plugins sehen, da bietet Drupal dank Erweiterbarkeit ja viele Anwendungsmöglichkeiten.

antares schrieb:
--------------------------------------------------------------------------------

> ihr mit euren ewigen abstraction layers. Ich hoffe dass ihr irgendwann in
> einer welt mit einem broken framework aufwacht, in der keiner mehr die
> statements kennt, um es zu fixen. Mal ernsthaft, wenn man sich ein wenig
> beisammen nimmt, lässt sich mit direktem SQL viel eleganter arbeiten

Viel Spaß mit der Portabilität wenn Du alles selber/direkt schreiben magst.

Abstraktionsschichten erleichtern einem die Arbeit enorm und die Zeit das Rad jedes mal neu zu erfinden hat man seltenst.

> > SQL-Statements "führt" man heute gar nicht mehr aus, sondern lässt diese
> > über Methoden "generieren". Wie schon bereits schon mit PDO, Prepared
> > Statements angesprochen hast.
>
> ihr mit euren ewigen abstraction layers. Ich hoffe dass ihr irgendwann in
> einer welt mit einem broken framework aufwacht, in der keiner mehr die
> statements kennt, um es zu fixen. Mal ernsthaft, wenn man sich ein wenig
> beisammen nimmt, lässt sich mit direktem SQL viel eleganter arbeiten

Auch wenn man die SQL-Statements direkt schreibt, kann man Prepared Statements verwenden. Aber woher sollte plötzlich eine Welt mit einem „broken Framework“ kommen?

Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.