Seite 1 von 1
mysqli_real_escape_string()
Verfasst: 10.09.2007 17:21
von Gast210225
Hallo,
ich programmiere im Moment ein bisschen mit php und MySQL.
Nun hab ich eine Frage: Der user gibt z.B. seinen Benutzernamen ein. Reicht da ein $username = mysqli_real_escape_string($link, $username); um "bösartige" eingaben zu verhindern?
Ich hoffe ihr versteht was ich meine.
Johannes
Verfasst: 10.09.2007 17:37
von S2B
Ja, das reicht aus.
Verfasst: 10.09.2007 18:02
von larsneo
falls du die registrierung von benutzernamen meinst: dort reicht imho ein escaping nicht aus, da es noch mehr dinge zu beachten gilt (z.b. html in namen, die ­ problematik etc.)
Verfasst: 10.09.2007 18:38
von S2B
larsneo hat geschrieben:falls du die registrierung von benutzernamen meinst: dort reicht imho ein escaping nicht aus, da es noch mehr dinge zu beachten gilt (z.b. html in namen, die ­ problematik etc.)
Nur sind das keine sicherheitskritischen Dinge, sondern zielen darauf ab, einen möglichst originellen Namen zu haben, der dann oft das Layout zerschießt. Aber ja, als "bösartig" können solche Eingaben durchaus bezeichnet werden. *g*
Verfasst: 10.09.2007 19:17
von Gast210225
Hallo,
mir ging es jetzt nur ums einloggen, da ist ja html oder so kein problem.
danke für eure hilfe
Verfasst: 10.09.2007 20:57
von larsneo
S2B hat geschrieben:Nur sind das keine sicherheitskritischen Dinge, sondern zielen darauf ab, einen möglichst originellen Namen zu haben, der dann oft das Layout zerschießt.
html in benutzernamen kann bei mehr seiten als man denkt zu (persistenten!) XSS-angriffen verwendet werden (dann nämlich, wenn irgendwo der benutzername unvalidiert angezeigt wird), die ­-problematik ist oftmals ein ansatz für social-engineering-angriffe. es wäre beispielsweise möglich, eine prüfroutine für valide benutzernamen zu hinterlegen und die bei jeder übergabe durchlaufen lassen - quasi als risikominimierung.