Function:cs_sql
Die cs_sql_* Funktionen sind für jeden Datenbanktreiber in der entsprechenden Datei definiert. Diese Datenbanktreiber sind im Verzeichnis /system/database/ zu finden.
Dieses Tutorial nannte sich früher "Sicherheitsleitfaden" und ist eigentlich auch einer, da die mitunter meist ausgenutzte Schwachstelle derzeit in der Kommunikation zwischen Script und Datenbank geschieht, indem Befehle an eben diese manipuliert werden. Um dies zu vermeiden, sollte jeder Modul- und/oder Addon-ersteller das folgende Tutorial wie seine Sicherheitsbibel behandeln und im Zweifelsfall hier nachsehen.
Textstellen die Fett oder Farbig hervorgehoben sind, sollten dabei besonders beachtet werden, wobei speziell die rote Farbe eine Gefahrenstelle markiert. Dateinamen und Verzeichnisse sind an der grünen Farbe zu erkennen. Die Klammern [ und ] kennzeichnen Optional mögliche Zusätze und sind nicht notwendig, aber oftmals hilfreich.
Achtung: Bei roter Hervorhebung besteht die akute Gefahr der SQL-Injektion! Daten aus globalen Arrays, wie z.B. $_GET, $_POST, $_REQUEST usw., sowie andere, oder auch bereits gespeicherte Benutzer-Eingaben, sind hier erst nach Filterung über die Funktion cs_sql_escape zu verwenden! Falls möglich, alle Zahlen als Integer setzen, bevor sie in Querys verwendet werden.
Funktionen
- cs_sql_connect
- cs_sql_count
- cs_sql_delete
- cs_sql_escape
- cs_sql_insert
- cs_sql_insertid
- cs_sql_option
- cs_sql_query
- cs_sql_select
- cs_sql_update
- cs_sql_version
| « | Function:cs_sql | » |
