$_GET einträge abfangen

PixelK_nig · 9. November 2019 um 02:30

Tach Community,

und hier ne echte Frage:

böse Buben nutzen Sicherheitslücken.
Ich möchte meine Scipts nun sicher machen.
Ich bin gerade dabei, alle Stellen, die $_GET nutzen zu bearbeiten…
in der Regel werden dann mit den variablen selectStatements ausgefuehrt… jetzt gibts ja diese bloede geschichte, dass
man ja, wenn man in der URL ?action=meineSeite ein „;selectStatement“ einfuegt die schweinerei dann in der datenbank ausgefuehrt wird…so also ein loeschen der daten in der datenbank moeglich ist.

reicht es hier, wenn ich alle $_GETs nach einem „;“ matche?
wie verhindere ich, dass user schindluder treiben?

ideen?

Merci beaucoup

PixelKoenig

MunichFreak · 9. November 2019 um 02:30

Tach

und hier ne echte Frage:

eine echte Frage die aus einem so spezifischem Blickwinkel geschildert wurde dass den meisten unklar sein wird was Du meinst…

böse Buben nutzen Sicherheitslücken.

sicherheitslücken können nur genutzt werden, wenn man sie offen lässt…

Ich möchte meine Scipts nun sicher machen.
Ich bin gerade dabei, alle Stellen, die $_GET nutzen zu
bearbeiten…
in der Regel werden dann mit den variablen selectStatements
ausgefuehrt… jetzt gibts ja diese bloede geschichte, dass
man ja, wenn man in der URL ?action=meineSeite ein
„;selectStatement“ einfuegt die schweinerei dann in der
datenbank ausgefuehrt wird…so also ein loeschen der daten in
der datenbank moeglich ist.

verstehe ich das richtig, dass Du hier ein mysql_query($_GET[‚action‘]) machst?
Wenn ja - dann selbst schuld.
wenn nein - dann prüfe die übergebenen Werte auf gültigkeit…

reicht es hier, wenn ich alle $_GETs nach einem „;“ matche?

*?* was meinst Du damit?

wie verhindere ich, dass user schindluder treiben?

sicherheitsabfragen einbauen

ideen?

poste ein Beispiel

MfG
Munich

111_e6c498 · 9. November 2019 um 02:30

Tach Community,

Hi,
benutz doch http://de2.php.net/manual/de/function.mysql-real-esc…

Gruß.Timo

und hier ne echte Frage:

böse Buben nutzen Sicherheitslücken.
Ich möchte meine Scipts nun sicher machen.
Ich bin gerade dabei, alle Stellen, die $_GET nutzen zu
bearbeiten…
in der Regel werden dann mit den variablen selectStatements
ausgefuehrt… jetzt gibts ja diese bloede geschichte, dass
man ja, wenn man in der URL ?action=meineSeite ein
„;selectStatement“ einfuegt die schweinerei dann in der
datenbank ausgefuehrt wird…so also ein loeschen der daten in
der datenbank moeglich ist.

reicht es hier, wenn ich alle $_GETs nach einem „;“ matche?
wie verhindere ich, dass user schindluder treiben?

ideen?

Merci beaucoup

PixelKoenig