Ok, dann fange ich mal an.
- Ist ja nicht so das ich mich drücke und die anderen alles machen lassen möchte.
Allerdings wäre es natürlich schön, da ich mich nicht sehr gut auskenne, wenn andere User noch Vorschläge machen was noch getan werden sollte.
1) Überprüfen ob das Script nicht direkt aufgerufen wurde, sondern nur von einem weiterem Script eingebunden wurde:
PHP-Code:
<?php
if( realpath($_SERVER['SCRIPT_FILENAME']) === realpath(__FILE__) ) {
die("Meldung");
}
?>
2) Bei Passwörtern braucht man eigentlich nichts machen, wenn sie via md5 übermittel werden. Dann kommt ja eh nur der Hashwert zur Datenbank
3) Wenn es eine Zahl ist, sollten wir es durch intval laufen lassen.
PHP-Code:
<?php
$test = intval($test);
?>
4) Dann ist ja das Problem, wenn man magic_quotes_gpc aktiviert hat und stripslashes anwenden möchte, das fehlerhafte Sachen dabei raus kommen können.
Was sollte man da am besten nutzen? Wie sollte man vorgehen?
5) Wenn es sich um reinen Text handelt, einfach mit mysql_real_escape_string rüber gehen, würde ich sagen...
PHP-Code:
<?php
$test = mysql_real_escape_string($test);
?>
Das war es dann erstmal was mir so einfällt.
Lg
wassereimer