Wieso man kein addslashes zum escapen von MySQL Queries benutzen sollte

[phpBuddy]

Hallo Dynamiker,

viele von Euch, mich eingeschlossen, benutzen konsequent die entsprechenden Funktionen um der Datenbank das escapen von potentiell schädlichen Benutzereingaben zu überlassen - dazu zählt allen voran mysql_real_escape_string. Allerdings gibt es noch sehr viele Programmierer die denken, dass addslashes genauso gut ist um Benutzereingaben unschädlich zu machen. Oftmals geschieht das sogar aus purer Faulheit, weil man ja viiiiel weniger tippen muß.

Beim stöbern durch's Web habe ich einen interessanten Artikel gefunden, der mit wenigen Zeilen Code eindrucksvoll demonstriert, wie man das vermeintliche "entschärfen" mit addslashes komplett umgehen kann um sich Zugang zu einem Useraccount zu verschaffen.

[steffenk]

guter Hinweis. Hier sieht man auch das die Hacker oft mit entities arbeiten und nicht mit normalen chars, daher greifen gewöhnliche Stringvergleiche auch nicht.