4. Sicherheit von PHP-Scripts

Sicherheit von PHP-Scripts

  • ?

    Ich habe leider schon wieder eine Frage...

    Ich habe mich in den letzten Stunden auf PHP.net ein wenig schlau gelesen. Es wird sehr häufig vor SQL Injections gewarnt. Auch nach einer Board Suche habe ich dazu versch. Threads gefunden.

    Nun meine Frage: Reicht es nicht aus, wenn ich Zeichenketten in '' setzte und vorher mittels addslashes bearbeite und Ganzzahlen einfach durch nen (int) Cast bearbeite? Dadruch wäre doch theoretisch eine SQL Injection nicht mehr möglich. Oder täusch ich mich? 😕

    Eine weitere Frage: Was muss ich bei Bilder-/Fileuploads beachten? Also zuerst überprüfe ich im Script die Größe. Ist diese zu groß wird der Vorgang gleich abgebrochen. Danach überprüfe ich, ob es sich wirklich um ein Bild handelt und verschiebe es anschließend in den richtigen Ordner. Habe ich etwas vergessen?

    Danke!

    0
  • S
    Mod

    verwende lieber mysql_escape_string statt addslashes
    das reicht dann natürlich aus 🙂

    bei uploads darauf achten, dass niemand scripts rauf lädt - also einfach keine datei 'ausführen', sprich direkt verlinken, sondern nur über readfile() an den client senden.

    0
  • ?

    Danke für die schnelle Antwort 🙂

    Welche Vorteile bietet mysql_escape_string() gegenüber addslashes()? Beide quoten Anführungszeichen aus!?!

    Wie meinst Du das mittels readfile() an den Client senden? In meinem Bsp. sollen Bilder zu versch. Bereichen hochgeladen werden. Da diese Bilder gleich in das entsprechende Images Verzeichnis verschoben werden werden, sehe ich da keine Gefahr, da der Benutzer diese Dateien nicht ausführen kann. Oder meintest Du, dass ich diese im PHP Skript nicht ausführen sollte? Das natürlich nicht! 😉

    Grüssle

    0
Anmelden zum Antworten