Hallo zusammen,

Folgendes Szenario:
Ich habe ein HTML-Formular "Wünsche und Anregungen", mit dem ich Wünsche und Anregungen sammeln und auf meiner Homepage anzeigen möchte.

Problem: in das input-Feld könnte ein böser User natürlich beispielsweise ein böses Java-Script einschleusen, das ich dann in der Datenbank speichere und bei der Anzeige auf meiner Homepage ausführe.

Mein Mittel dagegen:
Ich prüfe die Nutzer-Eingaben vor der Weiterverarbeitung / Speicherung, ob sie eines der folgenden Schlüsselwörter enthalten:

• INSERT
• CREATE
• TRUNCATE
• ALTER TABLE
• DROP TABLE
• SCRIPT
• DELETE

Auf diese Weise versuche ich zu verhinden, dass jemand Skripte oder SQL-Statements einschleusen kann.

Dazu habe ich nun zwei Fragen:

1. Ist dieses Verfahren praktikabel / sicher, oder gibt es andere / bessere Ansätze?

2. Reichen die von mir genanten Schlüsselwörter aus, oder kennt jemand noch andere Schlüsselwörter, die ich in meine Ausschlussliste einfügen sollte?

Vielen Dank vorab für alle Tipps,
Thomas