Sicherheit: $input->getString('test'); sicher?

Aligator13 · 3. April 2016

Moin moin,

leider finde ich hier aktuell keine Information zu: Wenn ich

Code

$meintest = $input->getString('test');

aufrufe und $meintest irgendwann in einer SQL-Query landet (ich weiß: Auch hier kann und muss aufgepasst werden): Ist das bereits bereits entsprechend gefiltert, sodass SQL-Injections eigentlich schon an dieser Stelle abgefangen werden sollten, oder ist dies nicht der Fall?

Beste Grüße!

firstlady · 4. April 2016

Nein. Schau was getString() macht https://docs.joomla.org/Retrieving_request_data_using_JInput
Das quoteName() zur Vermeindung von SQL injection ist davon ganz unabhängig und ist damit keinesfalls abgedeckt.

Aligator13 · 4. April 2016

Hallo und vielen Dank!

Gut, ich habe das Quoting ja grundsätzlich immer in meinen Queries. Allerdings wollte ich, falls das irgendwann einmal durch Schusseligkeit vergessen werden sollte, den Angriffsvektor so klein wie möglich halten und nach Möglichkeit schon die Inputs selbst so sicher wie möglich "abholen".

Nun ist mein Input ein Benutzername, der einer E-Mail-Adresse entspricht. Also sind @ und . enthalten. Welcher Filter wäre hier sinnvoll? Denn getWord würde mir ja das @ und die Punkte heraus filtern.

getCMD würde das @ entfernen.