Axel Richter: Formulardaten entschärfen

Beitrag lesen

SELF-Forum

Formulardaten entschärfen

Axel Richter
Informationen zu den Bewertungsregeln

Hallo,

eigentlich sollte mysql_real_escape_string() alles abfangen, was zum kompromitieren der DB selbst über sql injections tauglich wäre.

php-code in der übergabe - wen kümmert's? wenn du nicht nachher irgendeinen unfug in der form eval($datenbankinhalt) machst, sollte dich das doch recht wenig interessieren müssen ...

Hm. Nein. Traue niemandem. Validiere allen Input oder stirb.
Bsp.:
----------------------------------------------------
<input type="text" name="var"
       value="<?php echo $_REQUEST['var']; ?>"/>
----------------------------------------------------
Jetz gebe ich in das Textfeld ein:

"/><script>while(true){}</script>

http://www.dclp-faq.de/q/q-formular-text.html
http://www.dclp-faq.de/q/q-formular-verarbeitung.html
http://www.dclp-faq.de/ch/ch-security.html

viele Grüße

Axel

Beitrag melden
Informationen zu den Bewertungsregeln
0 20

Formulardaten entschärfen

Ilja
  • php
  1. 0
    wahsaga
    1. 0
      Axel Richter
      1. 0
        Ilja
      2. 0
        wahsaga
        1. 0
          Tom
      3. 0
        Tom
        1. 0
          wahsaga
          1. 0
            Tom
            1. 0
              wahsaga
            2. 0
              Badboy46
              1. 0
                Tom
                1. 0
                  wahsaga
                  1. 0
                    Badboy46
                    1. 0
                      Tom
                      1. 0
                        Badboy46
                  2. 0
                    Tom
                2. 0
                  Badboy46
        2. 0
          Axel Richter
          1. 0
            Tom