Wie schütze ich mein Formular am besten?

2

2Pac

Erfahrenes Mitglied
Hallo,

hab in der Suchfunktion leider nichts passendes gefunden. Überall nur das typische wie prüf ich meine Email auf @ und sowas. Das hilft mir aber nicht wirklich weiter.

Ich habe auf meiner Site ein Forum und eine Kommentarfunktion in den News gecoded.

Jetzt will ich mich jedoch vor Versuchen Dritter schützen, welche Code in die Datenbank einschleusen wollen.

Wie würdet Ihr das Formular auf solche Codes checken?
(z. B. PHP, Javascript oder andere externen Codes)

Wäre über einen Lösungsvorschlag ganz dankbar.

Gruß
Ronny
 
Man kann es in JS machen, oder auch in php. JS ist ok, weil man den Check ohne Reload hinkriegen kann. Reines php würde dann (ohne Reload der Seite) höchstens per Ajax eine Rückantwort geben können, welche Eingaben falsch waren bzw. was verändert werden musste. JS wiederum ist idR für Alle lesbarer Code im Gegensatz zu php. Das erleichtert die Suche nach Schlupflöchern -> Wenn Deine Aufgabe/Seite überhaupt so interessant für die böse Welt ist :D

Beispiele :
JS - http://www.flashbattle.de/community...tcollection/javascript/3952-formular-check-2/
php - http://www.tutorials.de/forum/php/8823-formular-check-mit-php.html
SQL-Injection Mechanismen - http://www.online-tutorials.net/security/sql-injection/tutorials-t-93-218.html

Der beste Schutz ist, wenn Du nur die Daten weitergibst, die da auch rein sollen.
Scripts, Links etc. entlarven.

mfg chmee
 
Ajax und JS will ich eigentlich vermeiden. Es muss doch eine Möglichkeit geben direkt zu sagen mit preg_match (z. B.) das wenn in dem Text "$" und "{}" bzw. "<?php" / "?>" vorkommt, das ganze zu sperren.

Oder ist das zu unsicher?
 
preg_* wird da recht böse sein, bezüglich Speicher und Geschwindigkeit.
Gut aber noch nicht das beste ist [phpf]strstr[/phpf]. Dort kann man einen Text auf beliebige Zeichen(-ketten) prüfen, von denen im Erfolgsfall die erste Position zurückgegeben wird.
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück