PHP - Anti SQL Injection Hack

[donkamilo56]

hallo zusammen kann mir einer sagen was dran falsch ist?

PHP-Code:

// Ajout des protections injection SQL 
    $x = str_replace("'", ''', $x); 
    $x = str_replace("--", '--', $x); 
    $x = str_replace("UPDATE", '', $x); 
    $x = str_replace("DELETE", '', $x); 
    $x = str_replace("DROP", '', $x); 
    $x = str_replace("INSERT", '', $x); 
    $x = str_replace("$mysql_", '', $x); 
    $x = str_replace("java script:", ', $x); 
// Ajout des protections injection SQL 


Ich habe das irgendwo gefunden ich weiß nicht was die variable x soll, bissi komisch und mysql als ne variable nehmen? hmm. Kann mir das vielleicht Einer richtig schreiben? es soll eine sql injection verhindern und die seite in ein U-Boot fahren danke schon mal

[th3flood]

Prepared Statements ( Prepared Statement – Wikipedia ) zu nutzen hilft da eher, würde ich sagen

[sn0w]

PHP-Code:

<?php
    //$x = mysql_real_escape_string($x);
    //$x = str_replace("/", "", $x);
  $x = str_replace("'", "", $x); 
  $x = str_replace("--", '--', $x); 
  $x = str_replace("UPDATE", '', $x); 
  $x = str_replace("DELETE", '', $x); 
  $x = str_replace("DROP", '', $x); 
  $x = str_replace("INSERT", '', $x); 
  $x = str_replace("$mysql_", '', $x); 
  $x = str_replace("java script:", "", $x); 
?>

$x = dein string, den du via mysql query ausführen willst
Die auskommentierte Zeilen würde ich dir empfehlen

MfG

[SFX]

Also meinen SQL Befehl würde ich da nicht durchschicken ^^

Das ist eine Escape funktion..

Bzw man könnte eine draus machen..

PHP-Code:

<?php

function escape($x) {
  $x = mysql_real_escape_string($x);
  $x = str_replace("/", "", $x);
  $x = str_replace("'", "", $x); 
  $x = str_replace("--", '--', $x); 
  $x = str_replace("UPDATE", '', $x); 
  $x = str_replace("DELETE", '', $x); 
  $x = str_replace("DROP", '', $x); 
  $x = str_replace("INSERT", '', $x); 
  $x = str_replace("$mysql_", '', $x); 
  $x = str_replace("java script:", "", $x); 

  return $x;
}

$input = escape($_POST['iwas']);

mysql_db_query('SELECT * FROM table WHERE spalte="'.$input.'"');

?>

MfG
sfx

[0x30]

Also meinen SQL Befehl würde ich da nicht durchschicken ^^

Was für einen denn?

[SFX]

Userinput

[blackberry]

Ich würde damit sowieso nichts "sichern".
str_replace ist Case-Sensitiv - d.h. du gibst statt INSERT insert ein und schon ist der Filter umgangen.

Zudem gilt: von Anfang an richtig sauber programmieren/skripten, dann braucht man sich nicht auf solche Filter verlassen (die sowieso 1. ineffizient und 2. störend sind - stellt euch mal vor ihr schreibt ein Forum, und haut so eine Funktion über alle eure $_REQUEST-Elemente... so eine Konversation wäre dann nicht möglich, weil allein schon niemand mehr "INSERT" schreiben könnte).

[donkamilo56]

Also meinen SQL Befehl würde ich da nicht durchschicken ^^

Das ist eine Escape funktion..

Bzw man könnte eine draus machen..

PHP-Code:

<?php

function escape($x) {
  $x = mysql_real_escape_string($x);
  $x = str_replace("/", "", $x);
  $x = str_replace("'", "", $x); 
  $x = str_replace("--", '--', $x); 
  $x = str_replace("UPDATE", '', $x); 
  $x = str_replace("DELETE", '', $x); 
  $x = str_replace("DROP", '', $x); 
  $x = str_replace("INSERT", '', $x); 
  $x = str_replace("$mysql_", '', $x); 
  $x = str_replace("java script:", "", $x); 

  return $x;
}

$input = escape($_POST['iwas']);

mysql_db_query('SELECT * FROM table WHERE spalte="'.$input.'"');

?>

MfG
sfx

danke dir und funktioniert das wirklich so weil da

PHP-Code:

$x = str_replace("'", ''', $x); 


kommt ein syntax fehler und hier auch

PHP-Code:

$x = str_replace("java script:", ', $x); 


[0x30]

-SFX- ich meinte eher wie dein 1337 SQL-Befehl aussehen würde, das man den dort nicht durch schicken sollte.
Vielleicht habe ich dich aber auch nur falsch verstanden...

[GregorSamsa]

Größter Müll den ich je gesehen habe!

$x = str_replace("--", '--', $x);
Einfacher kann man auch schreiben:
$x = $x;

Das Ding schütz vor _garnichts_ - nichteinmal Ansatzweise.

Entweder Prepared Statements oder einfach sauber Programmieren...