| von skc.tiddy |
hi,
es kommt natürlich darauf an, was du übergibts. wenn du ne einfache id übergibts ist es natürlich ein strip_tags sinnlos und kannst gleich gucken, ob es sich um einen integer-wert handelt. wenn du es bei ids aber gleich richtig machen willst, guckst du auch noch, ob überhaupt der datensatz mit der übergebenen id besteht.
machst du zb was mit sprachen und übergibts lg=en, dann solltest du gucken, ob die sprache, die übergeben wird, überhaupt besteht -> in_array($_GET['lg'], $languages);
wie du merkt ist das ganze sehr problem und programmspezifisch. allgemein gilt: checke alles was möglich ist und schütze dich vor mysql_injection.
http://de2.php.net/mysql_real_escape_string
was ich dir empfehlen kann und erheblich arbeit beim erstellen von programmen erleichtert:
quickform für formulare -> gibt es tolle dinge zur validierung von formularen
und das db-modul für datenbankabfragen
das sind beides pear-module und du kannst dich mehr auf deine anwendung konzentrieren. |
| von nisita |
hallo, ich hab ein paar fragen wegen der sicherheit von php scripten..
zurzeit überprüfe ich alle variablen, die per get bzw. post in ein script reinkommt mit strip_tags und htmlentities( (die strings) und intval die zahlen.. -reicht das aus?
und andere variablen, z.b. wenn die session-id angehängt wird, muss die dann auch überprüft werden?? -denn die kommt ja in keinem sql-script oder ähnlichem vor..
so, das wars mal.. wäre schön, wenn mir da jmd. helfen kann.. bin nämlich in sachen sicherheit noch nicht so auf dem laufenden.. :(
viele grüße, und schonmal eine wunderschönes neues jahr..
nisita
---
"Wir sollten lernen, uns allmählich vom Überfluss zu befreien, um zur Einfachheit unseres eigenen Wesens vorzudringen." Jean Gastaldi |
|
