Hallo,
Wie bearbeite ich Daten aus Formularen, bzw. eigentlich alles was innerhalb eines PHP-Scripts für den User sichtbar ist, sodass da keiner mehr eigene Scripte ausführen kann oder sonst irgendwelchen Blödsinn auf meiner Seite macht?
strip_tags() ist schonmal nicht schlecht.
Danach gleich noch alle spitzen Klammern ersetzen:
htmlspecialchars() - oder htmlentities(), wenn Du willst.
Boese Zeichen entfernen: \0, grundsaetzlich alle
Zeichen unter dezimal 32.
Anmerkung; Soll in eine MySQL-DB, ein Link zu dem Thema Sicherheit/Formatierungen von Eingaben wäre auch klasse.
mysql_escape_string()
Lies auch die dclp-FAQ:
Wie unterscheide ich böse Variablen von guten?
http://www.dclp-faq.de/q/q-security-variablen.html
Prüfe importierte Parameter. Traue niemandem
http://www.dclp-faq.de/q/q-sicherheit-parameter.html
und den Rest des Kapitels "Sicherheit".
;-)
Gruesse,
Thomas
Bitte keine Mails mit Fachfragen - dafuer gibt es das Forum!
Ich mag es, wenn URLs verlinkt sind (</faq/#Q-19>).
Oft gestellte PHP-Fragen beantwortet die dclp-FAQ bestens: http://www.dclp-faq.de/