mysqli_real_escape_string()

Gast210225 · Beitrag von **Gast210225** » 10.09.2007 17:21

Hallo,
ich programmiere im Moment ein bisschen mit php und MySQL.
Nun hab ich eine Frage: Der user gibt z.B. seinen Benutzernamen ein. Reicht da ein $username = mysqli_real_escape_string($link, $username); um "bösartige" eingaben zu verhindern?
Ich hoffe ihr versteht was ich meine.

Johannes

Beitrag von **S2B** » 10.09.2007 17:37

Ja, das reicht aus.

larsneo · Beitrag von **larsneo** » 10.09.2007 18:02

falls du die registrierung von benutzernamen meinst: dort reicht imho ein escaping nicht aus, da es noch mehr dinge zu beachten gilt (z.b. html in namen, die  problematik etc.)

Beitrag von **S2B** » 10.09.2007 18:38

larsneo hat geschrieben:falls du die registrierung von benutzernamen meinst: dort reicht imho ein escaping nicht aus, da es noch mehr dinge zu beachten gilt (z.b. html in namen, die  problematik etc.)

Nur sind das keine sicherheitskritischen Dinge, sondern zielen darauf ab, einen möglichst originellen Namen zu haben, der dann oft das Layout zerschießt. Aber ja, als "bösartig" können solche Eingaben durchaus bezeichnet werden. *g*

Gast210225 · Beitrag von **Gast210225** » 10.09.2007 19:17

Hallo,
mir ging es jetzt nur ums einloggen, da ist ja html oder so kein problem.
danke für eure hilfe

larsneo · Beitrag von **larsneo** » 10.09.2007 20:57

S2B hat geschrieben:Nur sind das keine sicherheitskritischen Dinge, sondern zielen darauf ab, einen möglichst originellen Namen zu haben, der dann oft das Layout zerschießt.

html in benutzernamen kann bei mehr seiten als man denkt zu (persistenten!) XSS-angriffen verwendet werden (dann nämlich, wenn irgendwo der benutzername unvalidiert angezeigt wird), die -problematik ist oftmals ein ansatz für social-engineering-angriffe. es wäre beispielsweise möglich, eine prüfroutine für valide benutzernamen zu hinterlegen und die bei jeder übergabe durchlaufen lassen - quasi als risikominimierung.