Stefan: Variablen unter Sicherheitsaspekten prüfen und Freiheiten lassen

Beitrag lesen

Moin zusammen,

ich beschäftige mich nun schon einige Zeit mit der Frage, wie ich meine Formulare und daran angeschlossene Skripte sicher machen kann. Einfach ist es ja, wenn ich prüfen will, ob es eine E-Mail Adresse ist oder die Postleitzahl in Ordnung ist. Auch Namen und Adressdaten kann ich noch mit regulären Ausdrücken überprüfen und ungeliebte Sonderzeichen ausschliessen (wobei ich mir auch hier schon nicht mehr sicher bin, ob das ausreichend ist oder doch noch genügend Angriffsfläche bietet). Anders ist es nun bei grossen Textfeldern. Hier will ich die Benutzer ja nicht unbedingt einschränken, Smilies haben ja schon diverse Sonderzeichen, wenn ich mal was in eckige oder runde Klammern schreibe, soll das auch noch ok sein, sprich, ich will den Benutzer hier nicht zu sehr einschränken. Gleichzeitig fallen mir da aber potentielle Sicherheitslücken ein (SQL Injection, Javascript Entries, Formmailmissbrauch usw.) Gibt es da eine Möglichkeit, alles Unsichere rauszunehmen? Funktionen? Handarbeit mit regulären Ausdrücken? Geht das überhaupt? Würde gern mal ein paar Meinungen hören, wie Ihr das macht, in Büchern steht ja immer nur, dass man die Variablen auf geeignete Weise überprüfen soll...

viele Grüße aus dem morgentlichen Hamburg
Stefan