Hallo erstmal
Also ich nutze eine Menge html Formulare und möchte diese gerne gegen Angriffe schützen. Dazu prüfe ich jeden Inhalt mit Regex, und zwar so passgenau und "aggressiv" wie nur möglich, eigentlich sowas wie whitelisting.
Wie sicher ist diese Methode? Das einzige, was ich im folgenden aufgerufenen Script dann mache ist
Ist diese Maßnahme ausreichend? sollte man lieber gleich mit die() anrücken? Das wollte ich eigentlich vermeiden, denn ein HTML-Layout, welches auf PHP-Includes basiert (z.B. 3 Spalten Layout) wird ja dann einfach ab dem Content abgeschnitten falls die Eingabe und somit regex nicht stimmt, deshalb if..else statt die.
mfg
Also ich nutze eine Menge html Formulare und möchte diese gerne gegen Angriffe schützen. Dazu prüfe ich jeden Inhalt mit Regex, und zwar so passgenau und "aggressiv" wie nur möglich, eigentlich sowas wie whitelisting.
Wie sicher ist diese Methode? Das einzige, was ich im folgenden aufgerufenen Script dann mache ist
PHP-Code:
if (ereg($regexmuster, $HTTP_POST_VARS["inhalt"]) == false)
{
echo "ungueltige Eingabe";
} else {
//mach dies und das, z.B. include fortfahren.php
}
mfg
Kommentar