---

Hej NG,

Nu har jeg efter hånden fået det meste af min hjemmeside skruet sammen med
php/mysql. Men så melder der sig et spørgsmål:
Hvordan med sikkerheden mht. INSERT INTO. Jeg mener at have læst et sted, at
det er muligt at sætte en stump kode i et inputfelt, der så kan ødelægge
databasen, vist nok noget med slashes. Jeg spørger, fordi jeg i nogle
tilfælde køre en stripslashes inden INSERT INTO. Giver det nogle problemer?
Er der andet, jeg skal være opmærksom på?

Mvh
Tonni Aagesen

---

On <yCFe6.24050$l57.1079708@news000.worldonline.dk>, "Tonni Aagesen"
<delphin@worldonline.dk> wrote:

> Jeg spørger, fordi jeg i nogle
> tilfælde køre en stripslashes inden INSERT INTO. Giver det nogle
> problemer? Er der andet, jeg skal være opmærksom på?

INSERTs er egentlig ikke så farlige igen. De farlige er UPDATE og DELETE
operationer.

Er din PHP sat op med magic_quotes_gpc slået til eller fra?

Se også:
http://www.phpbuilder.com/forum/archives/2/2000/07/4/102845

--
Greetings from Troels Arvin, Copenhagen, Denmark

---

Tak, "magic....." er slået til.

Mvh
Tonni Aagesen

"Troels Arvin" <troels@arvin.dk> skrev i en meddelelse
news:mrIe6.11221$zw.175875@twister.sunsite.dk...
> On <yCFe6.24050$l57.1079708@news000.worldonline.dk>, "Tonni Aagesen"
> <delphin@worldonline.dk> wrote:
>
> > Jeg spørger, fordi jeg i nogle
> > tilfælde køre en stripslashes inden INSERT INTO. Giver det nogle
> > problemer? Er der andet, jeg skal være opmærksom på?
>
> INSERTs er egentlig ikke så farlige igen. De farlige er UPDATE og DELETE
> operationer.
>
> Er din PHP sat op med magic_quotes_gpc slået til eller fra?
>
> Se også:
> http://www.phpbuilder.com/forum/archives/2/2000/07/4/102845
>
> --
> Greetings from Troels Arvin, Copenhagen, Denmark

---

On <C0Ke6.24382$l57.1099386@news000.worldonline.dk>, "Tonni Aagesen"
<delphin@worldonline.dk> wrote:

> Tak, "magic....." er slået til.

OK. Det sikrer dig mod visse sikkerhedsproblemer, hvis du da er varsom
med data, som du har kørt stripslashes() på.

(Til gengæld er magic_quotes_gpc efter min mening ret irriterende i
ikke-database sammenhænge.)

--
Greetings from Troels Arvin, Copenhagen, Denmark

---

Troels Arvin wrote:

> > Jeg spørger, fordi jeg i nogle
> > tilfælde køre en stripslashes inden INSERT INTO. Giver det nogle
> > problemer? Er der andet, jeg skal være opmærksom på?
>
> INSERTs er egentlig ikke så farlige igen. De farlige er UPDATE og DELETE
> operationer.

Kan et semikolon ikke gøre ret grimme ting - også efter en INSERT sætning?

M.v.h.

Jonathan

---

On <3A7C1E4F.46D062FA@image.dk>, "Jonathan Stein" <jstein@image.dk>
wrote:

> Kan et semikolon ikke gøre ret grimme ting - også efter en INSERT
> sætning?

Det skulle man umiddelbart tro, ja. Men i PHP er det i hvertfald
åbenbart således, at semikolonner er ulovlige i MySQL-udtryk.

--
Greetings from Troels Arvin, Copenhagen, Denmark

---

Troels Arvin wrote:

> > Kan et semikolon ikke gøre ret grimme ting - også efter en INSERT
> > sætning?
>
> Det skulle man umiddelbart tro, ja. Men i PHP er det i hvertfald
> åbenbart således, at semikolonner er ulovlige i MySQL-udtryk.

Med safe-mode/magic-quetes/what-ever eller altid? Det virker da lidt
"pyldret", hvis man slet ikke har mulighed for det.

M.v.h.

Jonathan

---

On <3A7C6530.C30DF009@image.dk>, "Jonathan Stein" <jstein@image.dk>
wrote:

> Med safe-mode/magic-quetes/what-ever eller altid?
Altid.

> Det virker da lidt "pyldret", hvis man slet ikke har mulighed for det.
Ja, det skulle man umiddelbart tro. Imidlertid har jeg aldrig oplevet
det i praksis indtil jeg opstillede en konkret, tilpasset test-side for
at teste det.

--
Greetings from Troels Arvin, Copenhagen, Denmark

---

Troels Arvin wrote:

> > Det virker da lidt "pyldret", hvis man slet ikke har mulighed for det.
> Ja, det skulle man umiddelbart tro. Imidlertid har jeg aldrig oplevet
> det i praksis indtil jeg opstillede en konkret, tilpasset test-side for
> at teste det.

M'kay - jeg har heller ikke haft brug for det, men det er da rart at vide,
hvis man en dag skulle komme til at få sådanne tanker...

M.v.h.

Jonathan

---

Jonathan Stein <jstein@image.dk> writes:

> Troels Arvin wrote:
>
> > > Kan et semikolon ikke gøre ret grimme ting - også efter en INSERT
> > > sætning?
> >
> > Det skulle man umiddelbart tro, ja. Men i PHP er det i hvertfald
> > åbenbart således, at semikolonner er ulovlige i MySQL-udtryk.
>
> Med safe-mode/magic-quetes/what-ever eller altid? Det virker da lidt
> "pyldret", hvis man slet ikke har mulighed for det.

Næh, det er da en rimelig normal måde at opføre sig på.

At man kan bruge ; nogen steder skyldes udelukkende, at frontenden giver
mulighed for det og selv splitter op i seperate queries.

--
Med venlig hilsen
Christian Laursen

---

Christian Laursen wrote:

> > Med safe-mode/magic-quetes/what-ever eller altid? Det virker da lidt
> > "pyldret", hvis man slet ikke har mulighed for det.
>
> Næh, det er da en rimelig normal måde at opføre sig på.
>
> At man kan bruge ; nogen steder skyldes udelukkende, at frontenden giver
> mulighed for det og selv splitter op i seperate queries.

Jeg har indtryk af, at de fleste SQL-servere kan modtage flere
forespørgsler i et kald, og tilsvarende svare med flere resultat-sæt?

M.v.h.

Jonathan

---

On Sat, 03 Feb 2001 19:34:21 GMT, "Troels Arvin" <troels@arvin.dk>
wrote:

>Det skulle man umiddelbart tro, ja. Men i PHP er det i hvertfald
>åbenbart således, at semikolonner er ulovlige i MySQL-udtryk.

Vel sandsynligvis af samme grund? Eller også for at der kunne
argumenteres om hvilken result-pointer, der i så fald skulle smides
tilbage, etc.?


--
- Pede
Professionel nørd