Hallo,
Dagegen, dass jemand bewusst Müll einträgt, kannst du nichts machen. Du musst nur dafür sorgen, dass der normale Betrieb dadurch nicht gestört wird.
ich weiss jetzt nicht recht, ob ich noch weiter fragen soll, ich hab keine Ahnung von solchen Dingen. Hast du allenfalls ein Beispiel?
sogar zwei Klassiker.
1. Man setzt GET- oder POST-Parameter ungeprüft in ein SQL-Statement ein. Du erwartest vielleicht einen harmlosen Benutzernamen, ein böswilliger Kandidat übergibt dir aber einen String, der, in ein SQL-Statement eingefügt, auch wieder ein gültiges, aber verändertes Statement ergibt. Noch nie die Geschichte vom kleinen Bobby Tables gelesen?
2. Du erlaubst dem Besucher in einem Anfrageformular, den Betreff für die generierte Mail selbst einzutragen. Anstatt "Problem beim Login" übergibt er dir nun den String "foo\r\nCC: spam1@example.org, spam2@example.org". Und schon hast du eine hübsche kleine Spamschleuder.
Ciao,
Martin
"Mutti, hier steht, das Theater sucht Statisten. Was sind Statisten?" - "Das sind Leute, die nur rumstehen und nichts zu sagen haben." - "So wie Papa?"
Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(