Tom: Sicherheit von POST

Beitrag lesen

Hello,

post.php

foreach($_POST as $name => $value)
{

Was ist mit Rekursion für mehrwertige Parameter?
Es ist ohne weiteres möglich, dass ein Parameter sich als "Array" darstellt und selber auch wieder "Arrays" enthält.

$value = htmlspecialchars($value);
$value = strip_tags($value);

Warum entfernst Du etwas, was Du eine Zeile vorher gerade eingefügt hast?

$valide[$name]=$value;

Auch Parameternamen können Unsinn enthalten, da sie ja von außen kommen.

}

print "<pre>";

// hier wäre nun die Anwendung von htmlspecialchars(print_r($_POST,1)) angemessen

print_r($valide);
print "</pre>";

ist das eine Sichere Methode?

Wofür? Deinen Prozessor mit Unsinn zu beschäftigen?
Was willst Du denn mit den übernommenen Daten anfangen?
Ein paar Kleiner-Zeichen oder Größer-Zeichen im übermittelten Text stellen noch keinen Angriff dar.

Du hast die eventuell notwendige Behandlung von Magic Quotes nicht berücksichtigt.

Wenn get_magic_quotes_gpc() gesetzt ist, dann musst Du diese Quotes vermutlich erst wieder entfernen, um an die Rohdaten zu gelangen.

Liebe Grüße aus Syburg bei Dortmund

Tom vom Berg

--
Nur selber lernen macht schlau
http://bergpost.annerschbarrich.de