Login-Namen
bearbeitet von Raketenwilli> und der Username entweder escaped oder, so wie bei Dir, als Argument an ein prepared statement gehängt.
>
> Mehr nicht.
Dagegen spricht, dass es verbreitete Regeln für Benutzernamen gibt ([kleine lateinische Buchstaben, Minus-Symbol und Ziffern, beginnt mit Buchstabe](https://serverfault.com/questions/73084/what-characters-should-i-use-or-not-use-in-usernames-on-linux)). Spätestens bei einer (womöglich später genutzten) Fremdauthentifizierung (also nicht durch die eigenen Skripte) können beliebige Benutzernamen (Genauer: Login-Namen) also patzen. Man müsste dann „mappen“. Das bedeutet: Aufwand, Fehlerquelle, …
Nach einer Eingabe zwecks Login sollte man ihn also nur trimmen (wg. Copy & Paste - Fehlern), aber beim Anlegen strikter vorgehen: Aber nicht „sanieren“ sondern prüfen und ablehnen und die Eingabe ins HTML-Formular nicht zulassen.
Login-Namen
bearbeitet von Raketenwilli> und der Username entweder escaped oder, so wie bei Dir, als Argument an ein prepared statement gehängt.
>
> Mehr nicht.
Dagegen spricht, dass es verbreitete Regeln für Benutzernamen gibt ([kleine lateinische Buchstaben, Minus-Symbol und Ziffern, beginnt mit Buchstabe](https://serverfault.com/questions/73084/what-characters-should-i-use-or-not-use-in-usernames-on-linux)). Spätestens bei einer (womöglich später genutzten) Fremdauthentifizierung (also nicht durch die eigenen Skripte) können beliebige Benutzernamen (Genauer: Login-Namen) also patzen. Man müsste dann „mappen“. Das bedeutet: Aufwand, Fehlerquelle, …
Nach einer Eingabe zwecks Login sollte man ihn also nur trimmen (wg. Copy & Paste - Fehlern), aber beim Anlegen strikter vorgehen.
Login-Namen
bearbeitet von Raketenwilli> und der Username entweder escaped oder, so wie bei Dir, als Argument an ein prepared statement gehängt.
>
> Mehr nicht.
Dagegen spricht, dass es verbreitete Regeln für Benutzernamen gibt ([kleine lateinische Buchstaben, Minus-Symbol und Ziffern, beginnt mit Buchstabe](https://serverfault.com/questions/73084/what-characters-should-i-use-or-not-use-in-usernames-on-linux)). Spätestens bei einer (womöglich später genutzten) Fremdauthentifizierung (also nicht durch die eigenen Skripte) können beliebige Benutzernamen (Genauer: Login-Namen) also patzen. Man müsste dann „mappen“. Das bedeutet: Aufwand, Fehlerquelle, …
Login-Namen
bearbeitet von Raketenwilli> und der Username entweder escaped oder, so wie bei Dir, als Argument an ein prepared statement gehängt.
>
> Mehr nicht.
Dagegen spricht, dass es verbreitete Regeln für Benutzernamen gibt ([kleine lateinische Buchstaben, Minus-Symbol und Ziffern, beginnt mit Buchstabe](https://serverfault.com/questions/73084/what-characters-should-i-use-or-not-use-in-usernames-on-linux)). Spätestens bei einer (womöglich später genutzten) Fremdauthentifizierung (also nicht durch die eigenen Skripte) können beliebige Benutzernamen (Genauer: Login-Namen) also patzen. Man müsste dann „mappen“. Aufwand, Fehlerquelle, …
Login-Namen
bearbeitet von Raketenwilli> und der Username entweder escaped oder, so wie bei Dir, als Argument an ein prepared statement gehängt.
>
> Mehr nicht.
Dagegen spricht, dass es verbreitete Regeln für Benutzernamen gibt ([kleine lateinische Buchstaben, Minus-Symbol und Ziffern, beginnt mit Buchstabe](https://serverfault.com/questions/73084/what-characters-should-i-use-or-not-use-in-usernames-on-linux)). Spätestens bei einer Fremdauthentifizierung (also nicht durch die eigenen Skripte) können beliebige Benutzernamen (Genauer: Login-Namen) also patzen. Man müsste dann „mappen“. Aufwand, Fehlerquelle, …
Login-Namen
bearbeitet von Raketenwilli> und der Username entweder escaped oder, so wie bei Dir, als Argument an ein prepared statement gehängt.
> Mehr nicht.
Dagegen spricht, dass es verbreitete Regeln für Benutzernamen gibt ([kleine lateinische Buchstaben, Minus-Symbol und Ziffern, beginnt mit Buchstabe](https://serverfault.com/questions/73084/what-characters-should-i-use-or-not-use-in-usernames-on-linux)). Spätestens bei einer Fremdauthentifizierung (also nicht durch die eigenen Skripte) können beliebige Benutzernamen (Genauer: Login-Namen) also patzen. Man müsste dann „mappen“. Aufwand, Fehlerquelle, …
Kurze Antwort: Natürlich ist sie notwendig
bearbeitet von Raketenwilli> und der Username entweder escaped oder, so wie bei Dir, als Argument an ein prepared statement gehängt.
> Mehr nicht.
Dagegen spricht, dass es verbreitete Regeln für Benutzernamen gibt ([kleine lateinische Buchstaben, Minus-Symbol und Ziffern, beginnt mit Buchstabe](https://serverfault.com/questions/73084/what-characters-should-i-use-or-not-use-in-usernames-on-linux)). Spätestens bei einer Fremdauthentifizierung (also nicht durch die eigenen Skripte) können beliebige Benutzernamen (Genauer: Login-Namen) also patzen. Man müsste dann „mappen“. Aufwand, Fehlerquelle, …