MySQL richtig schützen PHP

marvin2712 · 13. November 2019 um 08:22

Hallo, wie kann ich eine MySQL-Datenbank von Dritten schützen.
Ich verwende PHP um auf die MySQL-Datenbank zuzugreifen.
Ich habe ein login erstellt in dem Sessions gespeichert werden.

kleines beispiel:

Benutzername
Passwort
diese beiden daten werden in der mysql abgefragt. sind diese daten richtig (vorhanden und passen zueinander) wird der Sessionwert des Logins auf TRUE gesetzt.
Andernfalls FALSE.
Wie kann ich jetzt den Login vor SQL-Injectionen richtig schützen.
Mir ist bewusst, das es keinen 100% Schutz gibt.
Ich habe bereits im Login folgende Argumente (Sonderzeichen gesperrt):

Einfaches Anführungszeichen: ’
Normales Anführungszeichen : "

Allerdings bin ich mir sicher, dass diese Argumente nicht ausreichend sind. Gibt es etwas was ich übersehen habe!?

Mfg, marvin

sartOrial_0ab7cb · 13. November 2019 um 08:22

Ich benutze folgende PHP-Funktionen, welche auch so von meinem Lehrbuch als SQL-Injection-Massnahmen verwendet werden:
Leerzeichen am Anfang und Ende vom String entfernen: trim()
SQL-Zeichen entschärfen: mysqli_real_escape_string()

Siehe
http://php.net/manual/de/function.trim.php
http://php.net/manual/de/mysqli.real-escape-string.php

Marionaise · 13. November 2019 um 08:22

Zusätzlich kannst du auch noch die IP und den Hostnamen abgleichen. Also beim 1. Login in die DB schreiben und danach abfragen, ob denn der aktuelle User auch mit dem Eintrag in der DB überein stimmt. Jedoch vergiss bitte nicht, das nach einer Zeit von X Minuten dieser Eintrag geleert werden muss.