validierung und eintragen in db von benutzereingaben

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • validierung und eintragen in db von benutzereingaben

    hi,

    ich habe ein normales registrierungsformular für benutzer, die sich bei meiner login-klasse anmelden. zum thema sicherheit validiere ich schon von meiner formularklasse selbst alle eingaben, die vom benutzer kommen. allerdings möchte ich z.b. beim benutzernamen alle möglichen zeichen erlauben, also auch kritische wie ', " oder html-tags (die entschärft werden).

    jetzt ist meine frage, ob ich zum sicheren eintragen in die datenbank (mysql) nur addslashes() (bzw. ich habe eh magic_quotes auf "on") brauche oder nur htmlentities() (um html-tags zu entwerten, quotes werden da ja automatisch in html-entities umgewandelt.). oder führt ihr noch weitere schritte vor der eintragung in die db durch? wie macht ihr das in euren scripts?


    ich freue mich auf eure antworten
    Zuletzt geändert von BigBen; 19.12.2003, 14:00.

  • #2
    Re: validierung und eintragen in db von benutzereingaben

    zum absichern von db-eingabewerten sollest du nicht addslashes() verwenden, sondern mysql_escape_string() oder mysql_real_escape_string().
    I don't believe in rebirth. Actually, I never did in my whole lives.

    Kommentar


    • #3
      muss ich mich überhaupt darum kümmern, wenn ich vorher gewährleiste, dass magic_quotes eingeschaltet ist? ausserdem scheint mir die funktion htmlentities die eierlegende woll-milsch-sau zu sein, zumindest für die ausgaben in html.

      ich bin halt etwas skeptisch, in sämtlichen berichten wird seitenlang klargemacht, dass man sich vor sql-injections und globalen variablen schützen sollte und dabei ist die vermeidung solcher sicherheitslücken mit sehr wenig aufwand zu bewältigen, zumindest habe ich noch keine anderen sicherheitsmaßnahmen im netz gefunden ausser das escapen der quotes und register_globals off...

      Kommentar

      Lädt...
      X