nicht angemeldet
Hallo Andreas,
Auf Benutzereingaben wende ich folgendes an (außer Punkt 2, den nur da wo notwendig):
- Leerzeichen am Anfang und am Ende entfernen (trim())
Immer.
- Falls die URI der Homepage ohne führendes "http://" eingegeben wurde, wird selbiges vor die URI eingefügt. Sollte man die angegebene URI auf Erreichbarkeit prüfen?
Würde ich so machen.
- HTML-Tags entfernen (strip_tags())
Auf jeden Fall. Evntl. am Ende die Zeilenumbrüche beibehalten...
- Über die IP-Adresse wird ein erneutes Absetzen eines Eintrages (F5-Taste im IE oder Absicht) für einen frei definierbaren Zeitraum gesperrt (derzeit 300 Sekunden) - wenn zwei Benutzer die hinter ein und denselben Proxy sitzen posten wollen, habe ich natürlich ein Problem - kennt einer eine bessere Lösung? Session-Handling fände ich fast übertrieben und ist doch auch durch "Browser schließen, Browser öffnen" zu umgehen, oder?
Was auch geht: Nach dem Submit das Script verlassen und auf eine Antwortseite umleiten - da kann jeder F5 drücken wie er will.
Weiterhin gebe ggf. ich zum Blättern zwei Parameter in der URL mit (start und limit in der SQL-Query), sollten diese manipuliert werden, kann dann etas außer einer evtl. ungültigen Abfrage Passieren?
Ich mach das immer so:
jeder Parameter like ?new=1 wird über eine Kontrollstruktur (if -elsif)abgefragt. Am Ende dieser Kontrollstruktur steht ein else "Parameter nicht erlaubt" o.ä.
Also: Habe ich grundsätzlich 'was vergessen, gibt es etwas an an das man unbedingt noch denken sollte?
hmm...,der Benutzer sollte auswählen können ob seine eMailAddr sichtbar sein soll oder nicht.
Viele Grüße, Rolf
SELFforum - Das Tor zur Welt!
Theoretiker: Wie kommt das Kupfer in die Leitung?
Praktiker: Wie lege ich die Leitung von A nach B?