Jetzt Mitglied werden
Kostenlos registrieren und die vielen Vorteile der Webmasterpro-Mitgliedschaft nutzen.
Forum - Entwicklung
- Markup (HTML, XML, etc.) und CSS
- Skriptsprachen (PHP, Javascript, etc.)
- Datenbanken (SQL)
- CMS und Frameworks
- Flash und ActionScript
Info: Der Stern signalisiert, dass neue Beiträge vorhanden sind.
Alle Foren - Übersicht
Portal aktuelle Themen
Design aktuelle Themen
Server aktuelle Themen
- Webhosting und Webspace
- Betriebssysteme (Windows, Linux, etc.)
- Serveradministration
- Überwachung, Sicherheit und Backups
Management aktuelle Themen
Über Webmasterpro.de
Das Portal wird betrieben und entwickelt durch die Team23 Agentur. Die Augsbuger Agentur hat sich auf Community Software und die Entwicklung von Webportalen spezialisiert.
Datenbanken (SQL) - Forum
Derzeit sind Sie als Gast in unserem Forum aktiv. Für das Schreiben registrieren Sie sich bitte. Unser Forum ist eine Austauschplattform für Webworker zum Kommunizieren, Helfen, Informieren und Hilfe finden. Auf der rechten Seiten finden Sie eine Forenübersicht über alle Bereiche des Webmaster-Forums. Unterhalb finden Sie alle aktuellen Themen.
Namen aus Gruppen LAden
christian,
am Mittwoch
den 10.02.2010
um 20:57:29
Ich würde sagen es hängt vom Inhalt ab wie du eine Variable am besten validierst. Grundsätzlich sollte man die Menge der möglichen Eingaben sehr stark eingrenzen, so dass wirklich nur das erlaubt ist was benötigt wird. Wenn du z.B. eine Zahl von 3-7 als Eingabe forderst solltest du auch nur diesen Zahlenbereich erlauben und alles andere ausschließen. Wenn du nur bestimmte Strings als Eingabe erwartest solltest du auch wirklich nur diese Strings erlauben. Also grundsätzlich alles was von Außen kommt als Unsicher einstufen und überprüfen ob es den von dir festgelegten Kriterien entspricht, falls nicht -> böse. Bei Textfeldern ist das natürlich schwierig weil man einen sehr große Menge an möglichen Eingaben hat. Dafür gibt es aber auch Funktionen wie z.B. mysql_real_escape_string()
Markus B.,
am Mittwoch
den 10.02.2010
um 21:33:41
Naja bei meinen Kommentar Skript, wird alles über HTML Special Char in die SQL ein getragen... Also da dürfte keine gefahr von ausgehen.
Jannik Zschiesche,
am Mittwoch
den 10.02.2010
um 21:46:00
Ein Programmierer darf grundsätzlich nicht die Einstellung haben: "naja, wird schon nichts passieren". Ein Programmierer muss die Einstellung haben: "Wenn hier jemand eine Eingabe an mich schicken kann, dann will der mich hacken". Klingt lustig, muss aber genau so sein.
Naja bei meinen Kommentar Skript, wird alles über HTML Special Char in die SQL ein getragen... Also da dürfte keine gefahr von ausgehen.
Soweit ich weiß, kann man htmlentities und htmlspecialchars ebenfalls umgehen, indem man den String z.B. Hex-codiert (kann auch sein, dass das inzwischen behoben ist).
Man muss sich z. B. bei SQL einfach angewöhnen, Daten nur auf 3 Arten einzufügen:
- Über Prepared Statements
- Als Integer gecastet: $variable = (int) $variable;
Hier können jedoch Nebeneffekte auftreten. - Mit der Funktion mysql_real_escape_string bzw. MySQLi::real_escape_string()
Markus B.,
am Donnerstag
den 11.02.2010
um 20:37:05
Ahoi,
also ich habe mein Kommentar Skript erstmal mit Strip_Tags ersetz. Dies biedet mir die möglichkeit trotz Löschung der HTML Tags trotzdem tags zu zulassen.
Das würde dan z.B. so aussehen:
1 2 | //Viel vorteil hafter
strip = strip_tags ($_POST['text'], '<h1>', '<p>');
|
//Das ganze funktioniert sogar, wende die Tags in Hexidezimal ein trägst z.B. habe ich grade sowas probiert ;)
?site=27&titel=<h1>baseJS</h1>
Das besonders geile an Strip ist, das es die HTML Tags dir komplett raus knallt und diese nicht durch die HTML Cods ersetzt, die wen sie unerwünscht sind eh nix in der SQL DB zu suchen haben wie ich finde. :)
Gruß eXis