PHP im Formular

Einklappen
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
  • #1

    PHP im Formular

    ALso ich habe ein Formular und der Text wird in der Datenbank gespeichert udn wieder in einer anderen PHP Datei ausgegeben. Problematik dabei ist das der User diesen TExt schreibt und da, dies ja ne PHP Datei ist in den der Text ausgegeben wird kann der Typ also auch PHP in das Formular Feld z.B. schreiben dadurch könnte er ja in der PHP Datei SCRIPTS ausführen wasi ch eigentlich ziemlich katastrophal fände


    EDIT


    wenn jemand in meinen Formular z.B. PHP verwenden würde und er in der datenbank speichern würde, dann könnte er ja doch eigentlich ein PHP Script laufen lassen. Könnte dieses PHP Script irgendwas kaputt machen an meiner Seite eventuell könnte er ja damit auch die Datenbank schädigen. Schließlich kann man ja nicht sagen im Formular "KEIN PHP BENUTZEN" oder geht das irgendwie doch ??

    gibts einen Schutz das der jenige in das Formular kein PHP eingeben kann oder das wenn ich etwas einfüge das als PHP kenntliche nicht geachtet wird ?? oder ist PHP eingesetzt durch den User völlig unbedenktlich ?
    Zuletzt geändert von ginod; 10.05.2004, 17:30.
    schau nicht zurück, du lebst nur einmal
    Stichworte: -
  • #2
    ich weiss nicht wo dein problem ist, aber schreibe doch mal code in mein gästebuch (siehe sig), dann weisst du wo der hase läuft...
    INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |


    Kommentar

    • #3
      habmal oben editiert
      schau nicht zurück, du lebst nur einmal

      Kommentar

      • #4
        Ähhh, solange du kein eval nutzt ist das doch sowieso kein Problem, oder irre ich mich da?!
        Die Musikreview Seite

        hi, i'm a signature virus. copy me into your signature to help me spread.

        Kommentar

        • #5
          und php zulassen ist eine potentielle gefahr.
          INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |


          Kommentar

          • #6
            mhhh.....

            also z.B. bei einer loginprozedur wenn er "username" und "password" im formular abfragt und die angaben mit der db abgleicht, dann könnt der user im loginformular ein

            PHP-Code:
            ' or password='%
            oder so ähnlich hinzufügen, was im query string sicher nicht mehr so witzig wäre, weil jeder reinkommen würde ? habs nicht probiert aber sicher wäre es denke ich "kritisches" auszuklammern

            Kommentar

            • #7
              Original geschrieben von WiZARD
              dann könnt der user im loginformular ein
              ' or password='%'
              oder so ähnlich hinzufügen, was im query string sicher nicht mehr so witzig wäre
              nein, da du deine parameter vor übernahme in die query natürlich mit mysql_escape_string abgesichert hast (oder einem vergleichbaren mechanismus bei verwendung eines anderen DBMS), gibt es hier absolut kein problem.


              und auch das problem der eingangsfrage existiert überhaupt nicht, so lange kein unfug wie eval() zum einsatz kommt.
              (ggf. noch probleme mit als HTML interpretierbarem code, aber den sicherst du ja auch mit htmlentities oder htmlspecialchars ab).
              I don't believe in rebirth. Actually, I never did in my whole lives.

              Kommentar

              Vorherige template Weiter
              Lädt...
              X