PHP GET in sql-Abfrage

Sarius87 · 10. Februar 2018

hallo, habe diesen code :

PHP:

$linkid=$_GET['linkid'];
$sql="SELECT origlink FROM link WHERE linkid='$linkid'";

doch das muss doch auch so gehen ohne dass ich vorher die lokale variable erstelle, oder ??

aber das hier geht einfach nicht :

PHP:

$sql="SELECT origlink FROM link WHERE linkid=".$_GET['linkid']."";

was ist da falsch bitte ?

boula · 10. Februar 2018

Versuch mal:

PHP:

$sql = 'SELECT origlink FROM link WHERE linkid="' . $_GET['linkid'] . '"';

Sarius87 · 10. Februar 2018

ah danke

Marco01_809 · 10. Februar 2018

Google mal nach SQL Injections und wie man diese mit Prepared Statements verhindert, die Zeile da allein reicht aus dass dir deine ganze Datenbank gehackt werden kann.

ForestKoepp · 10. Februar 2018

Und wenn dir jemand die get-Variable manipuliert, lässt du sie direkt in deiner Abfrage ungefiltert ausführen. Bitte setze dich mit dem Thema SQL-Injection auseinander.
http://www.webmasterpro.de/server/article/sicherheit-sql-injection.html

bog · 10. Februar 2018

Sarius87 schrieb:
was ist da falsch bitte ?

syntaktisch: siehe was boula schrieb; dir fehlen die quotation marks um den wert der variablen in der sql-anweisung.
generell: stell dir mal vor, ich setze in der URL (wo $_GET den wert herbekommt) den parameter "linkid" auf folgendes:

Code:

'; DROP TABLE link; --

falls dir nicht sofort klar ist, was da passiert:

die ersten zwei zeichen beenden das vorangegangene statement
das naechste statement loescht deine komplette link-tabelle
die letzten beiden zeichen kommentieren alles was nach der variable linkid eingefuegt wird aus; das wird nicht ausgefuehrt

diese angriffsmethode nennt sich sql injection. du musst jetzt nicht anfangen zu ueberlegen, wie du deine eingaben dagegen filtern musst, denn es gibt in PHP bereits eine moeglichkeit, das den datenbanktreiber machen zu lassen. und zwar ueber prepared statements. lern das lieber gleich richtig.

Marco01_809 · 10. Februar 2018

ForestKoepp: Der Link von dir ist leider auch gänzlich untauglich. Die mysql-Extension gibt es in den neueren PHP-Versionen nicht mehr und die richtige Lösung sind und waren immer Prepared Statements, nicht dieses Rumgehampel mit Escaping. Code und Daten sollte man richtig trennen.

Hancock · 10. Februar 2018

Falls du Arrays in nen String packen willst:

Code:

echo "hallo {$_GET['title']}";

siehe auch http://php.net/manual/de/language.types.string.php

Cai-pirinha · 11. Februar 2018

Sarius87 schrieb:
hallo, habe diesen code :

PHP:

$linkid=$_GET['linkid']; $sql="SELECT origlink FROM link WHERE linkid='$linkid'";

doch das muss doch auch so gehen ohne dass ich vorher die lokale variable erstelle, oder ??

aber das hier geht einfach nicht :

PHP:

$sql="SELECT origlink FROM link WHERE linkid=".$_GET['linkid']."";

was ist da falsch bitte ?

was DA falsch ist, sind die zwei anführungszeichen am ende. warum das generell bad practice ist, wurde hier ja schon zu genüge erläutert..

ayngush · 11. Februar 2018

Sarius87 schrieb:
hallo, habe diesen code :

PHP:

$linkid=$_GET['linkid']; $sql="SELECT origlink FROM link WHERE linkid='$linkid'";

Wirf ihn bitte weg.

Sarius87 schrieb:
was ist da falsch bitte ?

Einfach alles...

* Das nicht-Filtern von User Inputs (filter_input...)
* Die im Thread bereits erwähnte Möglichkeit einfache SQL-Injections via GET-Parameter auszuführen.
* Eine ID sollte in einer Datenbank wohl eher Char by Char verglichen werden (LIKE statt =), ansonsten können je nach verwendeter Collation unvorhergesehene Dinge passieren ('ä' = 'ae' = wahr; vise versa, uvm.)
* Das nicht beachten der sonst üblichen Coding Style Guideline (PSR-12 Punkt 6)

Suche

PHP GET in sql-Abfrage

Sarius87

Banned

boula

Cadet 4th Year

Sarius87

Banned

Marco01_809

Lt. Commander

ForestKoepp

Lt. Junior Grade

bog

Ensign

Marco01_809

Lt. Commander

Hancock

Captain

Cai-pirinha

Lt. Junior Grade

ayngush

Lt. Commander

Ähnliche Themen