Gegeben: $_POST["username"] und $_POST["passwort"]

...solange ich diese nicht z.B. in einer Datenbank abspeichere,

Nun, das Passwort wirst Du ja hoffentlich durch die Password-Funktionen jagen. Aber der Benutzername? Der steht häufig mit dem Hash des Passworts in der Datenbank…

Aus

SELECT `pw_hash` FROM `shadow` WHERE username='$_POST["username"]';

kann bei der Ersetzung ganz fix ...

SELECT `pw_hash` FROM `shadow` WHERE username='';UPDATE shadow SET `pw_hash`='$2y$10$V2yZerKdNLhJiExdhBsQyuD3CcQwiUqelw6EnPlmj4oYM5OMBJoHC';

... werden.

Dazu muss nur

';UPDATE shadow SET `pw_hash`='$2y$10$V2yZerKdNLhJiExdhBsQyuD3CcQwiUqelw6EnPlmj4oYM5OMBJoHC

als „Passwort“ übermittelt werden - und schon hat jeder Nutzer "hallo" als Passwort". (Bevor jemand damit kommt: Konkret ist nochwas nötig…)

"Angefangen" hat alles mit der Überlegung, was wohl passieren würde, wenn ich ein Passwort, das "&<>", etc. enthält, durch htmlspecialchars, filter_var, etc. jage, da dieses ja dann mit &lt; etc. verfälscht würde.

Du willst das bitte richtig filtern. Es kommt auf den Kontext an, in welchen gewechselt wird!

Hallo Andi,

...aber nicht so, wie Du meinst.

Sanitizing eines Usernamens dürfte beinhalten:

• Entfernen von führenden und abschließenden Spaces

Mehr nicht.

Wenn man manche Zeichen nicht zulassen möchte, kann man darauf prüfen und den Usernamen zurückweisen, aber das ist dann kein Sanitizing mehr, sondern Plausibilisierung.

Sanitizing eines Passworts würde ich beim Login ebenfalls mit einem trim() durchführen und beim Vergeben des Passworts würde ich führende, abschließende und Spaces im Passwort zurückweisen. Eine Sequenz aus zwei Spaces auch. Denn solche Passwörter sind aus meiner Sicht ein Garant für "Ich komm nicht mehr rein"… Aber das ist deine Entscheidung.

Mehr nicht.

Für die DB Abfrage wird das Passwort gehasht und der Username entweder escaped oder, so wie bei Dir, als Argument an ein prepared statement gehängt.

Mehr nicht.

Wenn Du den Usernamen dann auf deiner Seite anzeigst, DANN musst Du ihn mit htmlspecialchars maskieren. Nicht sanitizen.

Sanitizing machst Du, wenn klar ist, dass bestimmte Zeichen bei der Verarbeitung der Eingabe stören, wie z.B. Klammern und Minuszeichen in einer Telefonnummer. Die sanitized Du aber nur für die Nummernsuche in der DB, nicht generell.

Sanitizing ist immer potenzieller Datenverlust. Daher muss man damit sehr zurückhaltend sein und gut überlegen, wo es sinnvoll ist. Aber dort ist es dann auch nötig.

Rolf

Lieber Andi,

Daher - eventuell trim() über den Input und gut ist?

das Wichtigste wurde ja alles schon erwähnt. Meiner Meinung nach sollten Benutzernamen aber grundsätzlich case-insensitive sein. UserA sollte meiner Meinung nach identisch zu uSERa und usera behandelt werden. Insbesondere bei Mailadressen ist es sehr sinnvoll sie so zu behandeln. Wer bei einem Mailprovider Kunde ist, der BoB@example.org und bOb@example.org als unterschiedliche Mailkonten führt, hat dann zwar Pech, die Schuld schöbe ich aber dem Betreiber des Mailservers in die Schuhe, weil es echt Unsinn ist!

Liebe Grüße

Felix Riesterer

Hallo,

**selbstverständlich muss User-Input immer kontrolliert werden! ** Allerdings hängt das erforderliche Maßnahmenbündel immer vom Zielkontext der Daten ab!

Es gibt dazu einen Artikel, ursprünglich von Dedlfix, der schon die meisten Probleme aufzeigt.

Bezüglich Verwendung von User-Inputs als Dateinamen sollten zusätziche Überlegungen angestellt werden.

Einige davon kann man im Artikel zum Fileupload nachlesen. Den fand ich leider nur noch nach einiger Suche über Google wieder!(?)

Deine Frage ist also tasächlich provokativ und zeugt von wenig Recherchebemühungen im SelfHTML-Raum und in den Suchmaschinen :-(

Sollte deine Frage darauf gerichtet sein, ob die Sanitize-Funktionen von PHP sinnvoll sind, so mag ich nur antworten: Verlässliche Polymorphie ist hier nicht erkennbar; bau die notwendigen Kontextwechsel und Filter also lieber selber, denn sie sind immer vom ZIEL abhängig, und nicht von der Quelle!

Grüße Helmut