Beatkiller
15-03-2006, 15:36
Hallo,
ich habe verschiedene Projekte, welche zum Teil noch auf älteren Architekturen laufen. Sprich, PHP4 und MySQL 3.x oder 4.0. Beim Code-Auditing habe ich diverse Fehler gefunden, bei denen SQL-Injection unter bestimmten Vorraussetzungen möglich wäre.
Ich habe weder Einfluss auf die darunter liegende Server-Architektur noch kann ich an den Konfigurationen drehen.
Meine Frage klingt zu gleich kompliziert und könnte auch eine richtige Diskussion über Sicherheit in Scripten los treten: Sind prepared statements (http://dev.mysql.com/tech-resources/articles/4.1/prepared-statements.html) auch in älteren Systemen möglich? Oder wie kann ich auf sichere Art und Weise Form-Eingaben serverseitig prüfen, ohne Flexibilität zu verlieren? Ich möchte, das es auch möglich ist, mit Backslashes oder Escape-Codes zu arbeiten, der Query darf davon aber nicht betroffen sein.
Ideen oder Vorschläge?
Grüße
Beat
ich habe verschiedene Projekte, welche zum Teil noch auf älteren Architekturen laufen. Sprich, PHP4 und MySQL 3.x oder 4.0. Beim Code-Auditing habe ich diverse Fehler gefunden, bei denen SQL-Injection unter bestimmten Vorraussetzungen möglich wäre.
Ich habe weder Einfluss auf die darunter liegende Server-Architektur noch kann ich an den Konfigurationen drehen.
Meine Frage klingt zu gleich kompliziert und könnte auch eine richtige Diskussion über Sicherheit in Scripten los treten: Sind prepared statements (http://dev.mysql.com/tech-resources/articles/4.1/prepared-statements.html) auch in älteren Systemen möglich? Oder wie kann ich auf sichere Art und Weise Form-Eingaben serverseitig prüfen, ohne Flexibilität zu verlieren? Ich möchte, das es auch möglich ist, mit Backslashes oder Escape-Codes zu arbeiten, der Query darf davon aber nicht betroffen sein.
Ideen oder Vorschläge?
Grüße
Beat