Hi!

Wie gehe ich am besten vor? Gibt es wirklich funktionierende Tools oder Services, die man nutzen kann oder muss ich mir jede mögliche Interaktion mit der MySQL-DB ansehen und einfach alles was aus $_GET oder $_POST kommt mit mysql_real_escape_string versehen, um SQL-Injection zu verhindern?

Zum einen bringt es nichts, stur alles mit mysql_real_escape_string() zu behandeln. Das muss schon noch kontextabhängig passieren: Zahlen im (My)SQL-Statement.

Und dann wäre die Frage zu klären, wie ein Tool feststellen kann, dass ein Angriff erfolgreich war oder nicht. Das müsste dann schon eins sein, das eine Menge Anwendungsfälle beherrscht. Billig wäre das dann vermutlich nicht.

SQL-Injection ist auch nur eine Angriffsmöglichkeit. Vergiss nicht alle anderen Ausgaben auf Beachtung des Kontextwechsels zu prüfen, beispielsweise Ausgaben in HTML-Code einbetten.

Ein wesentlicher Paramter ist die immer vorhandene $site_id, aufgrund der der Content aus meiner MySQL-DB ausgelesen wird.

Zu dieser Aussage kann man keine sicherheitstechnische Antwort geben.

Lo!