Hey Felix Riesterer,
Wenn ich das gerade richtig sehe sprichst du darauf an, dass irgendwas in der POST variablen stehen könnte was potenziell schädlich ist.
Das habe ich schon oft gehört und daher prüfe ich in einer generellen abfrage alle POST variablen auf mögliche Gefahren. Die ist sicher noch nicht fertig aber ich weiss um die Schwachstelle. Das sieht bei mir im Moment noch so aus, wird aber zu gegeben Zeitpunkt erweitert.
if($_POST)
{
foreach($_POST as $key=>$value)
{
$_POST[$key]= mysql_escape_string($value);
if (stripos($_POST[$key], "<script") !== false) //Check more?
{
//Warn or delete/bann user!
}
}
}
Aber ich werde mich morgen nochmal genauer mit dem Kontext wechsel befassen, danke dafür!
Und auch mit dem
sprintf();
, kurzes überfliegen hat nicht viel gebracht :/.
PDO ist mit Sicherheit eine interessante Sache aber ich verstehe nicht einmal im Ansatz was deise Klasse macht. Also die Syntax ist mir vollkommen schleierhaft und ich bin immoment noch nicht bereit mich in dieses Kapitel einzuarbeiten, meine Abneigung dagegen möge man mir verzeihen. Ich habe "gerade" erst gelernt mit mysqli umzugehen und würde langsam gerne zu einem Ergebnis kommen ohne ständig wieder neue Baustellen anzufangen.
Die Zeichenkette "de" in "chat_de" ist bitte durch das zu ersetzen, was in $_POST['language'] steht.
In der POST variable steht aber z.b. de oder eng oder noch viele weiter.
Somit wünsche ich ersteinmal ein Schönes Wochenende.
Gruß Jo