Körpergröße prüfen mit preg_match("/[0-9]{3}$/",$groesse)

Du könntest als erste Ziffer nur 1 oder 2 zulassen.

Aber generell sind reguläre Ausdrücke für sowas weniger geeignet, auch nicht gedacht.
Wandle den Wert in eine Zahl um, und prüfe dann auf den erlaubten Wertebereich.

Muss das zwingend sein?

Reicht das nicht aus:

if($_POST['groesse']>=145 && $_POST['groesse']<=210){...}

Oder ist da in irgendeiner Form noch Betrug (andere Zahlen, Injections) möglich?

Ja, ein älteres PHP könnte hier bei Benutzereingaben, die als Gleitkommazahl daherkommen, in eine Endlosschleife geraten. Der Bug wurde erst Anfang diesen Jahres entdeckt und behoben.

Mit Regex sähe es für den Bereich 150 bis 210 (cm?) so aus:

Das wird aber je nach gewünschtem Bereich unterschiedlich komplex und ist daher nur was für Leute, denen sowas Spaß macht.

Eben, der Bug wurde behoben. Wo ist das Problem? Nur weil irgendwelche Gammel-Server noch mit Uralt-PHP laufen? Die sind dann selber schuld. Hier hat der Server-Admin seinen Beruf verfehlt.

Du könntest auch filter_input() verwenden.

Du glaubst doch nicht ernsthaft, dass das der letzte Bug dieser Art war ...?

Ja, toll. Das nützt jemandem, der ein Script schreiben muss, welches bei möglichst vielen Hostern fehlerfrei laufen soll, jetzt wieviel?

Stell dir vor, du wärst der Autor einer beliebten Scriptsammlung (Framework, Library, CMS, Blog, Board was auch immer). Als solcher bekämst du Bugreports, diesen Fehler betreffend. Selbstverständlich denken die User, es wäre deine Software, die fehlerhaft ist. Wie würdest du reagieren?

Jeder Admin, der freiwillig PHP auf einem Server installiert, fällt in diese Kategorie.

Mal interessehalber: Was machen wir denn, wenn Floats als Eingaben akzeptiert werden müssen?

Immerzu auf Stringbasis prüfen, ob die Eingabe nicht "2.2250738585072011e-308" ist?

Was ist, wenn die Anwendung zum Beispiel zwei Eingaben multipliziert?

Wenn wirklich nur die ungepatchte PHP-Version zur Verfügung steht, kannst du verschiedenes versuchen:

- Die Eingaben auf bestimmte Werte zu begrenzen (maximale Länge und keine Exponenten). Das sollte bspw. bei der Auswertung von HTTP-Headern helfen, die Quality-Factors enthalten ("Accept" usw.).

- Das Muster zu erkennen und den Wert auf 0.0 setzen, da solche Zahlen der 0.0 wohl ausreichend nahe kommen.

- Unter Windows die COM-Extension verwenden. Deren Variant-Datentypen sind nicht von diesem Bug betroffen. Man kann ihnen auch Strings übergeben, die dann als Gleitkommazahl interpretiert werden. Allerdings ist die Interpetation anscheinend Locale-abhängig. Auf einer "deutsch eingestellten" Windows-Version werden nur Gleitkommazahlen mit richtigem Komma ',' als Trennzeichen akzeptiert. Mit dem Dezimalpunkt '.' klappt das nicht.

Das ist (leider) nicht die einzige Zahl und auch nicht die einzige Darstellung dieser Zahl, die Schwierigkeiten macht.

PHP Hangs On Numeric Value 2.2250738585072011e-308 - Exploring Binary

In den Benutzer-Kommentaren auf der Website des Bug-Entdeckers findet sich ein Ansatz das Muster zu erkennen: Die zu verarbeitende Variable wird serialisiert und dann auf das Ziffernmuster untersucht.

Eventuell lässt sich auch eine der Notlösungen für Java portieren.

Da der Fehler nur in der Umwandlungsphase von String nach Double auftritt, sollte auch funktionieren.

==
Nachtrag:
Man kann die Umwandlung notfalls nachbauen, indem man den String in Mantissen- und Exponent-Teil zerlegt und anschließend die beiden Teile per pow() wieder zusammenbastelt:

Wie man sieht, gibt es ein paar Abweichungen bei sehr kleinen Zahlen. Aber wer genau mit Gleitkommazahlen rechnen möchte, wird höchstwahrscheinlich kein PHP einsetzen.

Danke für die Infos.

Ein Regex-Check von Eingabe-Strings gegen etwa /\d+(?:\.\d{1,4})?/ (Zahl mit maximal vier Nachkommastellen) sollte es also tun, nehme ich an.

Ich finde die Frage, ob das anwendungsseitig behandelt werden sollte, auch nicht ganz leicht zu beantworten. In „Bibliothekscode“ kommt man wohl schwer drumrum.

Theoretisch ist die Filter-Erweiterung eine gute Idee.

Der Sanitize-Filter entfernt Zeichen, die nicht in einer Gleitkommazahl vorkommen dürfen. Nur wenn die Zeichenkette dann nach Float gewandelt wird, geht die Sache trotzdem schief.

Gleiches wird wohl beim Validate-Filter passieren: Das Muster '2.2250738585072011e-308' ist ja eine gültige Float-Darstellung. Das dürfte (und sollte) der Filter anstandslos durchlassen.

Wenn man aber konsequent mit den Filtern arbeitet und Daten nicht anderweitig ins Script lässt, könnte man per Callback-Filter eine Funktion einbauen, die das handhabt.


Für die typischen (oben erwähnten) Web-Anwendungen sollte das ausreichen. Wichtig ist hier die Längenbegrenzung.

Klar sind das alles nur Workarounds, die die zwei darunterliegenden Probleme nicht beheben: Den Fehler selbst und die "Type-Coercion", die dafür sorgt, dass automatisch nach Float gewandelt wird. Aber wie schon gesagt: Wenn bspw. eine Blogsoftware (die nun nicht gerade unter "Bibliothekscode" fällt) überall laufen soll, kommt man nicht drumherum, den Fehler zu berücksichtigen. Die älteste PHP-Version, die ich bei einem großen Free-Hoster gesehen habe, ist derzeit 5.2.11. Es dürften aber auch noch einige ungepatchte 5.3.-er rumlaufen.

Wenn es nach dem geht, darfst du gar kein PHP verwenden, weil in jeder Funktion ein Bug stecken könnte, mit dem man Code einschleusen oder den Server blockieren könnte.

Irgendwo muss man Abstriche machen. Man kann nicht bis in alle Ewigkeit Gammel-Server supporten. Sonst müsste man heute immer noch PHP 3 programmieren.

Wofür gibt es Mindestvoraussetzungen? Wenn ich eine Software kaufe, die nur unter Windows Vista und Windows 7 läuft, dann hab ich eben Pech gehabt, wenn ich noch Windows XP verwende.

Nicht wirklich. Oder sind auch automatisch alle Programmierer schuld, wenn eine Intel CPU einen Rechenfehler hat?

Im Prinzip gebe ich dir ja recht. Warum freust du dich nicht einfach darüber, dass du in der glücklichen Lage bist, auf solchen Unfug keine Rücksicht nehmen zu müssen?

Hast du dir die Geschichte dieses speziellen Bugs mal näher angesehen? In der Originalroutine war der 1997 schon gefixt (per #ifdef "ausgeklammert"). Die PHP-Macher haben es trotzdem fertiggebracht, irgendwann danach genau die Teile zu kopieren (oder wieder zu aktivieren), die diesen Fehler hatten. Anfang 2011, schlappe 14 Jahre nach 1997, haben sie mitbekommen, dass da ein schwerwiegender Fehler drin ist. Aber sie ersetzen den fehlerhaften Code nicht durch den seit 1997 gefixten, sondern fummeln an den Speicherklassen rum. Kommt irgendwann mal ein neuer Compiler, der das nun erzwungene Zwischenspeichern wegoptimiert, können wir nur hoffen, dass dann entweder kein Prozessor mehr da ist, der noch x87-Mathematik kann, oder dass die Helden wenigstens einen passenden Test hinzugefügt haben, damit sie das mitbekommen.

Und da erzählst du mir was von alten Zöpfen, die man rechtzeitig abschneiden sollte ...?

Darum geht es doch nicht. Du musst das aus Sicht des Endkunden betrachten: Wenn der feststellt, dass eine gerade von ihm gekaufte Anwendung nicht auf seinem Computer funktioniert, andere aber schon, wird er zuerst den Programmierer|Hersteller verantwortlich machen. Das liegt zum einen daran, dass er nicht erkennen kann, was die wirkliche Ursache ist und zum anderen am Hersteller der Software, weil nämlich die Konkurrenz sicher Workarounds in ihre Produkte eingebaut hat. Mag sein, dass der Prozessorhersteller die Kunden mit viel Aufwand und Medienrummel informiert und Rückrufaktionen gestartet hat. Vor den Endkunden hat er aber die Softwarehersteller informiert. Was glaubst du wohl warum?

Der Klassiker war hier der FDIV-Bug im Pentium (kann man in "Inside Intel" schön aufbereitet nachlesen"). Es gibt auch aktuelle Beispiele, wie das hier:
Glibc memcpy change exposing bugs : programming (und das "Improvement" dazu)

Mal abgesehen davon, sind heutzutage Prozessoren oft eingelötet. Die kannst du nur per Software-Workaround (BIOS, Betriebssystem, häufig benutzte Bibliothek, Anwendung) "fixen".