Kalle_B: Formulare und mysql_real_escape_string()

Beitrag lesen

SELF-Forum

Formulare und mysql_real_escape_string()

Kalle_B
Informationen zu den Bewertungsregeln

Um Daten an dein Script zu schicken, brauche ich dein Formular nicht.

Könnte man dieser Lücke mit einer TAN (Transaktionsnummer) beikommen? Ein hidden- Feld bekommt eine generierte Nummer, die sich der Server (Datenbank) für eine gewisse Zeit merkt, z.B. 30 Minuten.

Script prüft zuerst, ob die TAN gültig ist und löscht sie aus der DB.

Falls ungültig, keine weitere Bearbeitung. So könnte man auch das mehrfache Absenden ignorieren und vielleicht sogar einen massenhaften Angriff abschwächen, weil dem "Feind" nur wenig Zeit gewidmet wird.

Kalle

Beitrag melden
Informationen zu den Bewertungsregeln
0 20

Karsten

SQL-Injektion
  • php
  1. 0
    Manuel B.
    1. 0
      Karsten
      1. 0
        Manuel B.
        1. 0
          Karsten
          1. 0
            Manuel B.
  2. 0

    Formulare und mysql_real_escape_string()

    rob
    1. 0
      Kalle_B
      1. 0
        Sven Rautenberg
  3. 0
    Sven Rautenberg
    1. 0
      Karsten
      1. 0
        rob
        1. 0
          Karsten
      2. 2
        Sven Rautenberg
        1. 0
          Karsten
          1. 0
            Sven Rautenberg
            1. 0
              Karsten
              1. 0
                MudGuard
      3. 0
        Daniel
        1. 0
          Karsten