Sonderzeichen PHP eingabevalidierung
-
Hi
welche Sonderzeichen sollte ich auf keinen Fall zulassen?
bis jetzt sieht meine Validierungsfunktion so aus- Filtern auf Bad_Words (ersetzen durch *********) - htmlentities - nl2br - umlaute durch htmlcode ersetzenIs das überhaupt sinnvoll das so zu machen oder is das totaler Bullshit.
Was wäre noch Sinnvoll?MFG eiskalt
-
sind die magic quotes an?
ansonsten addslashes und stripslashes..?
-
umlaute durch htmlcode ersetzen
Überflüssig.
-
eiskalt schrieb:
umlaute durch htmlcode ersetzen
Das müsste "htmlentities" bereits übernehmen.
-
da kam immer sowas raus
ä statt ä
-
Dann wurde htmlenties o. ähnliche Funktionen zweimal ausgeführt, da das &-Zeichen vor auml; nochmals durch HTML-Code (&) ersetzt wurde.
-
Richtig aber in meinem Code stehts nur einmal drin
und ich raff nicht was das soll
-
Schau nochmal genau nach, vielleicht hast du irgendo eine Stelle übersehen (Evtl. beim _Anzeigen_ der übersetzten Daten nochmal htmlentities() ausgeführt?)
-
Is egal ich code das ding eh neu das alte is schrott und unübersichtlich
THX
-
Viel Erfolg.
-
sorry das ich diesen alten Thread nochmal rauskramen muss aber is mit eine (Text)Eingabe wirklich mit dem bischen was oben genannt is sicher? Kann man da net noch mehr machen oder reicht das aus. Wenn man jetzt mal von spamschutz über grafiken etc. absieht
MFG eiskalt
-
Unter der Voraussetzung, das PHP keine Fehler in seinen Routinen hat, sollte ein htmlentities() sicher sein. Bei Datenbanken musst du aber natürlich immer noch escapen, bzw. bei anderen Speichermethoden (z.B. flat files) deine Routinen entsprechend absichern. Aber vom XSS bzw. seinen Derivaten her sollte das gehen.
Eine weitere Prüfung, die nie schaden kann (und manchmal immens wichtig ist!!), ist die Prüfung, ob ein Nullbyte enthalten ist. Versendest du die Daten hingegen via E-Mail, dürfen zudem auf keinen fall Zeilensprünge enthalten sein.
-
ok das bringt mich schon weiter THX
