TobbiVM

Tobbi-Blog

Sicherer Datenbankzugriff

01.08.2014

Mit dem Einsatz von Prepared Statements ist TobbiVM-Shop nun noch sicherer geworden. Trotz deren Einführung mit PHP 5.1 werden diese immer noch nicht flächendeckend eingesetzt.
Oftmals werden da Argumente vorgebracht die einfach nur Unfug sind.

  • Datenbankabfragen werden langsamer
    Nicht wirklich. Man muss dabei bedenken das der sonst notwendige Code zum Escapen etc. auch in diese Rechnung eingebracht werden soll. An Sicherheit zu sparen damit eine Webseite sich 0,02 Sekunden schnelle aufbauen kann ist doch wohl kein stichhaltiges Argument.
  • Ich mach alle Datenbankabfragen die mit Daten von außen gefüllt werden mit Prepared Statements.
    Klar - Total sicher - Ich schlachte auch nur ein halbes Schwein wenn ich Eisbein haben will. Da wird doppelte Arbeit ohne Sinn und Verstand gemacht.
  • Meine Anwendung ist sicher. Ich habe da noch nie Probleme gehabt
    Die Anwendung ist solange sicher bis dann doch jemand kommt und zeigt das es anders geht. Eine einfach nur dumme Aussage.

Da geben uns die Entwickler von PHP eine solch mächtige Funktion(ssammlung) wie den Prepared Statments und viele glauben im gleichen Trott, wie gehabt, weitermachen zu können. Mittels der P-S kann man MySQL-Injections nahezu sicher verhindern und ist ein riesiges Problemfeld los. Dies nur mittels ein wenig Tipperei die sonst vielfach in fragwürdige PHP-Schutzscripte gesteckt wird.

Sicher, auch ich prüfe trotzdem alle Usereingaben vor weitergabe an die Datenbank. Doppelt gemoppelt hält eben besser. Besonders die angeführte Geschwindigkeitsveringerung kann man nicht als Argument gelten lassen. Sicherheit geht eben vor! Das ist wie mit dem tragen einer Schutzbrille bei Schleifarbeiten - „Ist schon tausendmal gutgegangen, ohne Schutzbrille…″ sagte der Einäugige.

Weiterführende Links:

http://kushellig.de/prepared-statements-php-data-objects-pdo/

http://php.net/manual/de/mysqli.quickstart.prepared-statements.php

Fazit: Immer, aber auch wirklich immer Prepared Statements nehmen.

 

Kommentare: 0

Keine Kommentare vorhanden!

Neuen Kommentar verfassen:

Bitte füllen Sie mit * markierte Felder korrekt aus. JavaScript und Cookies müssen aktiviert sein.
Name: (Pflichtfeld)*
email: (Pflichtfeld, wird nicht veröffentlicht)*
Homepage:
:-):-):-):-):-):-):-):-):-):-):-):-)
Ihr Kommentar: *
 
Bitte tragen Sie den Zahlencode ein:*
Captcha
Powered by CMSimpleRealBlog



Unterstützt von CMSimple  •  Gestaltet von TobbiVM