Sicheres Formular

Einklappen
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
  • #1

    Sicheres Formular

    Hallo zusammen,

    ich weiss das schon viel darüber geschrieben wurde aber ich habe das passende nicht gefunden.

    ich möchte formulardaten, speziell benutzername und passwort,
    möglichst mit allem an zeichen zulassen.
    z.b. sollen " und ' als auch < und > zugelassen werden.
    dennoch soll es natürlich sicher sein.

    strip_tags, addslashes, htmlentities habe ich gefunden.

    wie geht ihr vor?
    wie kann ich möglichst viel zulassen und dennoch sicher bleiben?
    worauf muss ich dann bei der ausgabe ggf. achten.

    gibt es eine besondere kombination oder reihenfolge der oben aufgeführten befehle, oder weitere?

    hat jemand einen quasi standard?

    vielen dank im voraus
    oh
    Stichworte: -
  • #2
    wie bei jeder anderen Eingabe vom User auch? Alles akzeptieren und bei der Ausgabe htmlentities(...);

    wobei ich es persönlich sehr schwachsinnig finde jegliche Sonderzeichen zuzulassen... (zumindest beim Usernamen)

    Ein netter Guide zum übersichtlichen Schreiben von PHP/MySQL-Code!
    bei Klammersetzung bevorzuge ich jedoch die JavaCoding-Standards
    Wie man Fragen richtig stellt

    Kommentar

    • #3
      wenn ich nun aber einfach so alles zulasse,
      dann habe ich doch ein sicherheitsproblem?

      z.b. der benutzername.

      es wird überprüft ob er schon vorhanden ist,

      SELECT * FROM xyz WHERE benutzername='$benutzername'

      wenn ich ihn nun ganz ungeprüft zulasse,
      besteht doch die möglichkeit einer sql injenction?

      ich muss also abfangen? oder?
      wie gesagt ich muss nicht alles an zeichen zulassen.
      sollte es aber irgendwie gehen dann ja.
      wenn nicht dann lieber die zeichen eingrenzen.

      wie kann man möglichst viele sonderzeichen zulassen
      und dennoch die sicherheit gewähren?

      Kommentar

      • #4
        Gegen SQL-Injection hilft mysql_real_escape().

        Ich finde es auch überflüssig, alle Zeichen zuzulassen.
        Viele User verwenden Logins, die sie schon kennen. Die stammen von anderen Seiten, ihrem Mailaccount oder sonstwo her.
        Die meisten Logins verlangen aber [a-zA-Z0-9_-] und die User sind es so gewohnt, dass sie sich aus diesem Zeichenbereich nicht herausbewegen. (Manchmal auch gut so: Geh mal in ein chinesiches InetCafe und such das Ü aufm Keyboard!)

        Kommentar

        Vorherige template Weiter
        Lädt...
        X