Hallo wie schon angesprochen mache ich gerade meine formulare SICHERER. Ganz sicher geht nicht, das ist mir jetzt klar. Aber etwas sicherer geht.

Mein erster Schritt heute:
Ich übernehme die Globalen Variablen aus dem Form. dazu habe ich zwei Überlegungen/Lösungen angestellt, die ich jetzt hier besprechen will:

Lösung 1:
if (! ($nid=$_GET['nid'])){$nid=NULL;}
$mynid ="$nid";
//reicht das aus?

Lösung 1: (Hier prüfe ich noch POST)
if (!empty($_GET[‘nid’])) //ist diese Abfrage genauer?
$mynid = $_GET[‘nid’];
else if (!empty($_POST[‘nid’]))
$mynid = $_POST[‘nid’];
else
$mynid = NULL;

So jetzt bin ich ja noch nicht sicher unterwegs, ich muss noch validieren um spammer besser abzuhalten.

Bei Nummerischen Daten habe ich es nicht zu schwer:

if (! ($nid=$_GET['nid'])){$nid=NULL;}
if $nid = (int) $nid;

//Frage: soll ich hier mit den variablen $nid prüfen:
if $nid = (int) $nid;
oder eher die Daten direkt prüfen:?
$_GET['nid'] = (int) $_GET['nid'];

Ist es notwendig auf nummeric zu prüfen oder ob so bei zahlen von 1 bis 10000?

Soweit bin ich jetzt - ich will noch versuchen zu prüfen ob eine Eingabe Zeilenumbrüche hat (für mail() attacken) und mysql_real_escape_string für SQL-Anweisung.

Grüße von Guma