Moin!

bin nun mit xss/dos-Attacken in meinem Formular konfrontiert und
möchte dagegen ein einigermaßenes Maßnahmenpaket schnüren.

Du brauchst exakt eine Maßnahme: Kontextspezifisches Escaping.

Bis jetzt habe ich von folgenden Maßnahmen gelesen:

• Kritische Zeichen verhindern wie z.B.: "<"
• Zwangsumwandlung von Variablentypen durch eine php-Funktion (was
    immer das heißen mag)
• Nicht direkt inkluden, sondern:
    <?php if($var == "bla") include("bla.php");
• dos-captures

Alles schön, aber für eine konkrete Problemstellung gibts in der Regel konkrete Gegenmaßnahmen - nur kennt noch keiner deine konkrete Problemstellung.

Was genau ist denn passiert? Am besten mit Beispielcode und Beispieldaten.

- Sven Rautenberg