Hallo,
man soll ja immer mit Allem rechnen und somit auch damit, dass in Formularfelder schadhafter Code eingegeben wird.
Nun gibt es ja spezielle Frameworks, die aber sehr umfangreich sind und die ich nicht verstehe.
Ich möchte aber nichts verwenden, was ich nicht verstehe, da ich den Code dann nicht nachvollziehen kann.
Was spricht dagegen, einfach alle Zeichen und Befehle, die schadhaften Code einleiten bzw. beinhalten könnten, mittels preg_replace zu ersetzen, so wie nachfolgend auf ganz niedriger Ebene umgesetzt?
preg_replace('/[^A-ZÄÖÜa-zäöü0-9\?\1\(\)\.[space]{2,} _\-\+\&]/', '', $Wert);
Schadhaften Code zu verschleiern macht desweiteren ja nur durch Verwendung von Zeichensatzcodierungen Sinn, da verschlüsselter Code nicht automatisch entschlüsselt und ausgeführt wird oder sehe ich das falsch?
Wenn dem so ist, dann müsste es ja ausreichen, die verschiedenen Zeichensatzcodierungen in lesbare Form zurückzuführen und dann den obigen preg_replace-Befehl auszuführen.
Wie seht ihr das?
Wäre meine Überlegung ein Ansatz, meine Formulare abzusichern?
Wie würdet ihr vorgehen?
Gruß,
Enrico