PHP Code aus MySQL Datenbank sicher ausgeben und eingeben

Einklappen
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
  • #1

    PHP Code aus MySQL Datenbank sicher ausgeben und eingeben

    Hallo,

    ich habe vor, kleinere Codes auf meiner Site zu veröffentlichen, wie aber kann ich sichergehen, dass....

    Ich Codes (wie z.B. auf php-resource.de) im Sinne von Beispielen sicher in meine mySQL DB eingebe, und sicher ausgeben kann.

    Welche der Funktionen sollte ich in welchen Reihenfolgen anwenden?

    (strip_tags und CO mein ich in diesem Zusammenhang unter anderem.)
    Stichworte: -
  • #2
    beim speichern in die Datenbank: "'" . mysql_real_escape_string() . "'"
    (die '..' immer einbauen, auch für Zahlen.) Für LIMIT: mit intval() schützen.

    beim Ausgeben in HTML: htmlspecialchars

    Als Sonderfall beim Ausgeben von URL's im HTML: htmlspecialchar(urlencode)
    jedoch muss man aufpassen, dass Du die Teile richtig erwischst.

    Als Sonderfall für javascript: htmlspecialchars(addslashes)

    beim entgegennehmen von GET und POST stripslashes, aber nur wenn magic_quotes_gpc angeschaltet ist.

    Je nach Verwendungszweck ist striptags sinnvoll, aber nicht wenn Du original html verarbeiten willst.

    beim Verarbeiten im php: immer den gefährlichen Code im gefährlichen Originalzustand haben. Aber deshalb auch für Testoutput: htmlspecialchars

    (Grund: Es ist nicht möglich, zB. &lt; anstatt < sinnvoll zu verarbeiten, und der Schutz kann erst angewandt werden, wenn der Zweck feststeht)

    Im produktiven Betrieb error_reporting(0), damit keine Fehlermeldungen mit gefährlichem Code rausgehen.

    [edit: Es gibt noch weitere Regeln für mail() include() require() eval() exec() : zB wenn Du mail() Bestätigungen versendest, oder temporäre include() aufbaust.]
    Zuletzt geändert von jhaase; 27.08.2006, 11:11.

    Kommentar

    • #3
      Danke vielmals

      Kommentar

      Vorherige template Weiter
      Lädt...
      X