18.04.2022, 17:25
(25.07.2018, 06:36)m.scatello schrieb:Ist ein alter Beitrag - aber immer noch lesbar und daher muss ich hier etwas richtigstellen...(24.07.2018, 18:36)basti1012 schrieb: Dann sehe ich nix von htmlspecialchars() ,aber mußte man das bei PDO auch anwenden ???
Alleine das zeugt davon, dass du gefährliches Halbwissen verbreitest. htmlspecialchars wird nur zur Ausgabe benutzt, aber nicht für Datenbank-Aktionen!
Und das du von PDO keine Ahnung hast (muss man auch nicht unbedingt, wenn man nur mit MySQL zu tun hat), hat man ja in anderen Foren schon oft genug gelesen. Aber bitte, dann nehme nicht irgendwelche Scripte aus dem Netz, bastele dran rum und veröffentliche sie nicht!
@m.scatello:
Woher kommt die Weisheit dass htmlspecialchars() nur für Ausgaben verwendet wird? DAS IST GEFÄHRLICHER QUATSCH !!!
Schon mal was von SQL-Injections gehört?
Beispiel:
Gib mal als "Passwort"folgendes ein: password' OR 1='1
Ergibt als SQL-Anweisung: sql="SELECT id FROM users WHERE username='user' AND password='password' OR 1='1'
Und nun? Nach boolscher Logik ergibt die Anweisung TRUE !!!!! Und schon hast du einen unerwünschten Gast in der Datenbank !!!
Mit htmlspecialchars() wäre nie im Leben ein ausführbarer Code entstanden.
Und wo war hier eine Ausgabe ??? NIRGENDS !!!
Ich kann dir 1000de weitere Injections nennen die nur funktionieren wenn Eingaben 1:1 ohne 'Aufbereitung' durchgewunken werden !!!
BITTE KEINEN BLÖDSINN IN FOREN SCHREIBEN WENN NOCH NICHTMAL HALBWISSEN VORHANDEN IST !!! BITTE BITTE BITTE
Und wenn du Ahnung von PDO hättest würdest du wissen wie PDO intern arbeitet:
Anweisung und Werte werden getrennt übergeben -> darum kann mittels Werte keine neue Anweisung entstehen...
UND: PDO wendet intern ebenfalls Methoden zur Sonderzeichenbehandlung an - und deutlich verschärfter als 'nur' htmlspecialchars(),
htmlentities() oder mb_encode_numericentity().!!!
PS: Ich administriere seit 20 Jahren Datenbanken und bin zertifizierter Webentwickler für HTML, css, php, perl, phyton, javascript, sql sowie den
Frameworks sass, bootstrap, jquery, jsValidate und den CMS Typo3, Laravelle, Joomla und WordPress (Webmaster Europe Certificate)
...nur für den Fall dass du auch mir 'gefährliches Halbwissen' vorwerfen willst...