Kleine Sicherheitsfrage

Einklappen
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
  • #1

    Kleine Sicherheitsfrage

    Hi Leute,

    möchte nur wissen welche Zeichen ich in unserer Nachrichtenfunktion ausfiltern muss um missbrauch zu verhindern ?

    Hab jetzt ausgefiltert :
    <
    >
    //

    Ich denke ihr wisst auf was ich rauswill, nicht das jemand was ausführen kann

    Danke für eure Antwort
    - Carpe Noctem -
    Stichworte: -
  • #2
    hi

    weiss ich leider nicht genau, aber vielleicht hilft dir strip-tags:

    http://www.php-resource.de/manual.ph...ion.strip-tags

    weiter. filtert alle php und html tags aus

    wars das ?

    gruss von

    pau

    Kommentar

    • #3
      wenn die nachrichten gespeichert werden , verwende htmlentities() vor den speichern auf deine daten an.
      INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |


      Kommentar

      • #4
        Hi,

        ja klar, die geschriebenen Nachrichten werden in der Datenbank gespeichert.
        Also vor dem speichern einfach mit :

        PHP-Code:
        $mailtext htmlentities($mailtext); 
        filtern und fertig ?
        - Carpe Noctem -

        Kommentar

        • #5
          jepp.
          so werden aus > &gt; oder aus < &lt; usw.

          und du hast keine probleme. ich mache das auch so.
          INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |


          Kommentar

          • #6
            Und mal wieder vielen dank an Abraxax
            - Carpe Noctem -

            Kommentar

            • #7
              allerdings solltest du evtl. auch noch den zweiten optionalen parameter quote_style mit angeben, der beschreibt ob einfache/ doppelte anführungzeichen auch kodiert werden oder nicht (einstellung für beide arten kodieren: ENT_QUOTES).

              ansonsten kann man u.u. befehle in deine sql-query reinschmuggeln, die du so nicht beabsichtigt hast (es sei denn, du machst vorher schon ein addslashes).
              I don't believe in rebirth. Actually, I never did in my whole lives.

              Kommentar

              Vorherige template Weiter
              Lädt...
              X