Yeah ich konnte ein Funktionierendes Kontakt-Formular erstellen XD
Yeah ich konnte ein Funktionierendes Kontakt-Formular erstellen XD
Wie sieht es mit SQL-Injections aus?
Ich hab es so eingestellt das automatisch ein Eintrag in die Datenbank erfolgt =) achja und die email wird an die jeweilige adresse abgeschicktachja ich habs eingestellt das alle " zu ' werden
Geändert von VD3??? (16.07.2012 um 12:46 Uhr) Grund: ergänzug
solltest du aber auch noch um die POST Daten packen. So aus sicherheitsgründen den " und auch ' kann man leicht umgehen wie ich selber erst vor kurzewm Merkte da ich ein altes script von vor jahren ausgepackt habe und es eben total unsicher dadurch war.
@Scavenger: ehm wo wäre der angemessene platz für diesen sting ?! muss da noch was dazu getextet werden ?!
Ma einfach eine Organisatorische frage
Ich will einen Filter via PHP erstellen. Das soll er alles ordnen:
Vollversionen, Demo, Spielertyp(z.B. SciFi), Maker, Autor (z.B. Marlex), Sprache (EN/DE) Jahr(uploadjahr/Release) > soll ich jetzt für demo und Vollversionen eine extra Tabelle erstellen ?!
Ich habe erstmals eine tabelle Vollversion erstellt, momentan sind nur Vollversionen drin.
Ich bin mir irgend wie nicht sicher =/
Stichwort "SQL" ... immer noch ...
Das kann doch nicht so schwer sein, da mal ein paar Tutorials darüber zu lesen ....
Kurz und einfach ausgedrückt: mysql_real_escape_string wendest du auf alles User-Input an, den du in die Datenbank schiebst. Denn allem Input, der vom User kommt, darf man grundsätzlich nicht trauen.
mysql_real_escape_string tut nichts anderes, als unsichere Zeichenfolgen wie ', \x00 usw., die für SQL-Injections angewendet werden, zu maskieren und ist das Mindestmaß (!) an Sicherheit, das beim Speichern von Userdaten in PHP Verwendung finden sollte.
http://php.net/manual/de/function.my...ape-string.php
Zitieren
