Bezüglich Gumbo's Tut zur Sicherheit von Usereingaben mittels Formularen, hab ich mir mal eine kleine Funktion geschrieben, welche in die entsprechenden PHP-Dateien zu Anfang includiert wird.
Dabei werden verschiedene Sicherheitsrelevante Umschreibungen der übergebenen Daten gemacht, welche hoffentlich im Großen und Ganzen recht viele Angriffsversuche abwehren sollten.
Die relevanten Zeilen sind dann allerdings noch an die eigenen Bedürfnisse anzupassen, da ja u.U. Zeilenumbrüche etc. gewünscht sind.
Nachdem das Script dann abgearbeitet wurde, sind die übergebenen Variablen dann als globale Variablen zu nutzen.
Hier mal der Code:
Falls ich ein paar schwerwiegende oder auch einfache Dinge übersehen hab, bzw. falsch interpretiert hab, dann lasst es mich bitte wissen, bin ja auch erst am Anfang der Erfahrungskonglomeration angelangt ;-)
Gruß
-C-
Dabei werden verschiedene Sicherheitsrelevante Umschreibungen der übergebenen Daten gemacht, welche hoffentlich im Großen und Ganzen recht viele Angriffsversuche abwehren sollten.
Die relevanten Zeilen sind dann allerdings noch an die eigenen Bedürfnisse anzupassen, da ja u.U. Zeilenumbrüche etc. gewünscht sind.
Nachdem das Script dann abgearbeitet wurde, sind die übergebenen Variablen dann als globale Variablen zu nutzen.
Hier mal der Code:
PHP:
function secure_formdata($formdata){
$formdata=strip_tags($formdata);
$formdata=htmlspecialchars($formdata,ENT_QUOTES,"UTF-8");
$formdata=str_replace(array("\r", "\n","--"), '', $formdata);
$formdata=addcslashes($formdata, '%_=*?;');
return $formdata;
}
// Anstelle von einfachen "extracts"
//extract($HTTP_GET_VARS);
//extract($HTTP_POST_VARS);
foreach ($HTTP_POST_VARS as $key => $value){
$$key=secure_formdata(strval($value));
}
foreach ($HTTP_GET_VARS as $key => $value){
$$key=secure_formdata(strval($value));
}
Falls ich ein paar schwerwiegende oder auch einfache Dinge übersehen hab, bzw. falsch interpretiert hab, dann lasst es mich bitte wissen, bin ja auch erst am Anfang der Erfahrungskonglomeration angelangt ;-)
Gruß
-C-