nicht angemeldet
Hi,
Sämtliche Werte aus dem Formular versehe ich mit "strip_tags" bevor ich diese in die Datenbank speichere.
Genügt dies um vor böswilligen Angriffen ausreichend geschützt zu sein?
nein. Es hat nicht den geringsten Effekt.
Was könnt Ihr mir zwecks Sicherheit empfehlen?
Kodiere jedes Datum, welches Du in irgend einen Kontext bringst, kontextspezifisch. Es ist nutzfrei, in den SQL-Kontext gebrachte Informationen einer HTML-Kodierung zu unterziehen. Der SQL-Kontext erfordert eine SQL-Kodierung.
Cheatah
--
X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes
X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes