Sichere Webformulare mit PHP

**TobiaZ** · 13.09.2005, 11:01

Danke für den Hinweis. Nur da auch dieser Thread kein konkretes PHP-Problem beinhaltet, werde ichs mal aus diesem Forum verschieben. OT scheint mir auch hier angemessen.

**drillson** · 13.09.2005, 11:12

Tut mir leid, wenn ich Dir da widerspreche, man sollte hier mal mit diesen Zeilen anfangen

$_POST['absender'] = str_replace("\r","",$_POST['absender']);
$_POST['absender'] = str_replace("\n","",$_POST['absender']);

und dann Anfängern und auch Fortgeschrittenen zeigen, wie man sich vielleicht eine einfache aber sichere Funktion schreibt, die Eingaben prüft, evtl. auch mit verschiedenen Parametern, um bestimmte Zeichensätze abzuprüfen, beispielsweise unter Verwendung von regulären Ausdrücken.

DENN, wenn die Leute endlich lernen würden, wie man ordentlich PHP programmiert, dann gäbe es nicht Hunderte von Forensoftware und Kontaktformulare/Gästebüchern, die dann Millionenfach Spam versenden.

Ich hoffe also, dass das Thema wieder aus dem Offtopic herauskommt und wir hier in einer ernsthaften Diskussion erörtern könnten, wie eine möglichst einfache und möglichst immer verwendbare Funktion zur Formularprüfung aussehen könnte, die zumindest einen Großteil von Angriffen abhalten würde.

Speziellere Funktionen können ja dann erfahrenere Programmierer selbst basteln.

Bye,
Drillon

**Quetschi** · 13.09.2005, 11:19

Hallo,

das PHP Developer-Forum hier ist für konkrete Probleme mit einem bestimmten PHP-Script da - das hier ist einfach was allgemeines - könnt vielleicht höchstens noch ins Sicherheitsforum rein. Im übrigen gibts über dieses Thema hier beinahe täglich Diskusssionen und es wird oft genug beschrieben wie's gemacht werden sollte.

Kann mich täuschen, aber ich glaub ich hab heut schon ein oder zwei taufrische Threads zum Thema hier irgendwo gesehen.

Gruss
Quetschi

**TobiaZ** · 13.09.2005, 11:20

DENN, wenn die Leute endlich lernen würden, wie man ordentlich PHP programmiert,

OffTopic:
Ja, davon träume ich auch schon so lange

Ich hoffe also, dass das Thema wieder aus dem Offtopic herauskommt und wir hier in einer ernsthaften Diskussion erörtern könnten, wie eine möglichst einfache und möglichst immer verwendbare Funktion zur Formularprüfung aussehen könnte, die zumindest einen Großteil von Angriffen abhalten würde.

Bin mir zwar eigentlich sicher, dass wir da schon üfters drüber geredet haben, aber das Thema darf gerne diskutiert werden. Wenn eine Funktion für die Code-Snippets bei rum kommt, umso besser!

Ins PHP-Forum verschiebe ich trotzdem nicht:

Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren.

**Shurakai** · 13.09.2005, 15:41

Naja, sicher programmieren ist garnicht mal so einfach - es gibt ne Menge Leute die z.B. $_SERVER['PHP_SELF'] einfach so vertrauen (ist ja im _Server-Array) und das nicht escapen.. Was wiederum zu XSS führen kann ... Gibt so einige Dinge auf die IMHO nicht gut genug hingewiesen wird

**TobiaZ** · 13.09.2005, 17:05

Ihr seid gerne dazu eingeladen dies hier zu tun...

**Shurakai** · 14.09.2005, 14:33

Ja, werde sicherlich irgendwann mal einen umfangreicheren Beitrag dazu schreiben... wenn ich denn mal die Zeit dazu hätte... folglich erst nach den Klausuren

**TobiaZ** · 14.09.2005, 18:45

Ja, werde sicherlich irgendwann mal einen umfangreicheren Beitrag dazu schreiben...

jaja, das hat Benny damals zum Thema Google-Tut auch gesagt

Sichere Webformulare mit PHP