| | | | |
| |||||||
| PHP-Fortgeschrittene Arbeiten mit PHP ohne Einschränkungen |
 |
| | LinkBack | Themen-Optionen | Thema bewerten |
17.10.2007, 10:14
| |
| Erfahrener Benutzer Registriert seit: 12.05.2005
Beiträge: 1.038
PHP-Kenntnisse: Fortgeschritten  |  htmlspecialchars vs strip_tags, mysql_real_escape_string hallo, um variablen abzusichern habe ich momentan immer einen regulären ausdruck drüber laufen lassen und viel mit htmlspecialchars() gearbeitet, htmlspecialchars wird jedoch in dem buch "PHP Sicherheit" ein wenig links liegen gelassen, funktionen wie addslashes u.s.w. kommen hier zum Einsatz... soweit ich weiss schützt htmlspecialchars jedoch auch vor sql injectionen u.s.w. ? |
|  |
 | |
| PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten | |
|
17.10.2007, 11:21
| |
| Gast
Beiträge: n/a
| Hi, ich glaube mittlerweile das die ganze Art und weise wie man Variablen absichert eine politische Entscheidung jedes einzelnen ist... Was wirklich richtig ist, steht nirgends. Das mit htmlspecialchars hab ich neulich auch gelesen ... BP (der auch gern wissen würde wie es RICHTIG ist) ... |
| |
|
17.10.2007, 11:35
| |
| Moderator  Registriert seit: 02.10.2006
Beiträge: 3.820
PHP-Kenntnisse: Fortgeschritten | htmlspecialchars schützt nicht in jedem Fall vor SQL-Injections...wenn man sich das Manual dazu anschaut, stellt man fest, dass einfache Anführungszeichen (') nur ersetzt werden wenn ENT_QUOTES gesetzt ist... htmlspecialchars und mysql_real_escape_string machen doch auch grundverschiedene Sachen - das ist also keine politische Entscheidung, sondern hängt davon ab was du machen willst. Ich will Eingaben möglichst unverändert in die Datenbank schreiben - daher verwende ich htmlspecialchars/entities nicht vor dem speichern, da sonst HTML-Eingaben konvertiert werden/verloren gehen...
__________________ Today you...Tomorrow me. |
|
| |
|
17.10.2007, 11:42
| |
| Moderator  Registriert seit: 03.09.2004
Beiträge: 11.792
PHP-Kenntnisse: Fortgeschritten  | will man sich vor injections schützen ? oder inhalte verändern ? htmlspecialchars führt zu Veränderungen der Eingabe! mysql_(real_)escape_string und co hingegen escapen eine Variable nur passend um sie gefahrlos in einem Query einzusetzen UND sie kommt so in der Datenbank an wie sie auch ursprünglich (ohne mysql_(real_)escape_string) war! Und die Veränderung durch htmlspecialchars bringt NUR was wenn man beim 2ten Parameter ENT_QUOTES nutzt, weil sonst ' weiterhin ' bleiben!
__________________ robo47.net - Blog, Codeschnipsel und mehr |  Caching-Klassen und Opcode Caches in php | Robo47 Components - PHP Library extending Zend Framework |
|
| |
|
17.10.2007, 15:59
| |
| moderatives Dielektrikum  Registriert seit: 21.05.2008
Beiträge: 35.987
PHP-Kenntnisse: Fortgeschritten | Ich denke man kann es darauf reduzieren: - mysql_real_escape_string () vor dem Speichern in die Datenbank nutzen, um die Query gegen Manipulation zu schützen. - html_entities () vor jeglicher Bildschirmausgabe verwenden, egal, ob nach Auslesen aus der Datenbank oder beim Wiederbefüllen des Formulars, bei unvollständigen Eingaben. Im Folgescript des Forms desweiteren stets die Settings zu magic_quotes_gpc und Konsorten beachten, gegebenenfalls stripslashes () nutzen. So einfach kann Politik sein! :wink: |
|
| |
|
18.10.2007, 09:37
| |
| Erfahrener Benutzer Registriert seit: 12.05.2005
Beiträge: 1.038
PHP-Kenntnisse: Fortgeschritten | kann mir auch jemand sagen welchen $_SERVER variablen ich nicht trauen darf ? referer, host, user_agent , weiter ? |
|
| |
|
18.10.2007, 09:43
| |
| Erfahrener Benutzer Registriert seit: 21.05.2008
Beiträge: 9.937
| Ist doch eigentlich egal, alles was in die Datenbank will muss an mysql_real_escape_string() vorbei. |
|
| |
|
18.10.2007, 09:52
| |
| Erfahrener Benutzer Registriert seit: 12.05.2005
Beiträge: 1.038
PHP-Kenntnisse: Fortgeschritten | ich finde es nicht egal und gut zu wissen welche servervariablen vom server kommen |
|
| |
|
18.10.2007, 13:25
| |
| Erfahrener Benutzer Registriert seit: 21.05.2008
Beiträge: 9.937
| Naja das ist eben die Gefahr, zu glauben zu wissen, anzunehmen, vermuten, von mir aus sogar wissen aber dann vergessen. Einfach alle Daten als potentiell gefährlich einstufen und absichern. Dafür kannste dir ein paar einfache Filter-Funktionen schreiben, für MySQL eben mysql_real_escape_string() mit Abprüfung von magic_quotes_gpc() und für Dateien ein optionales strips_tags() und für den Bildschirm ein htmlspecialchars(). Aber ich verstehe, dass du es einfach wissen willst, wollte die Proforma-Hinweise trotzdem noch erwähnen  |
|
| |
|
18.10.2007, 13:34
| |
| Erfahrener Benutzer Registriert seit: 12.05.2005
Beiträge: 1.038
PHP-Kenntnisse: Fortgeschritten | ich möchte wie du schon sagtest mir eine funktion schreiben die solche sachen effektiv beseitigt UND vorallem verdächtige Inhalte zusätzlich loggt  |
|
| |
| |
| Themen-Optionen | |
| Thema bewerten | |
|
|
Ähnliche Themen | ||||
| Thema | Autor | Forum | Antworten | Letzter Beitrag |
| htmlspecialchars umgekehrt | xeon | PHP Tipps 2006 | 3 | 31.07.2006 17:16 |
| htmlspecialchars() vs htmlentities() vs addslashes() | PHP Tipps 2005-2 | 3 | 16.09.2005 13:08 | |
| htmlentities vs. htmlspecialchars | bicpi | PHP-Fortgeschrittene | 7 | 04.09.2005 23:17 |
| htmlspecialchars() und str_replace() | michi174 | PHP Tipps 2005-2 | 3 | 07.07.2005 17:17 |
| hat jemand erfahrung mit htmlspecialchars??? | LA-Finest | PHP Tipps 2005 | 6 | 15.04.2005 15:12 |
| htmlspecialchars() | StartUpBoy | PHP Tipps 2005 | 5 | 22.03.2005 10:33 |
| BBCode und htmlspecialchars | PHP Tipps 2005 | 5 | 21.02.2005 20:10 | |
| Ausgabe nur dann, wenn htmlspecialchars() verwendet | PHP Tipps 2004 | 1 | 27.10.2004 21:17 | |
| [Erledigt] htmlspecialchars austricksen. | PHP-Fortgeschrittene | 1 | 18.10.2004 08:03 | |
| htmlspecialchars in printf verwenden? | Paulo | PHP Tipps 2004 | 9 | 15.10.2004 15:59 |
| [Erledigt] Umkehrfunktion von htmlspecialchars() | PHP Tipps 2004 | 4 | 31.08.2004 14:24 | |
Dieser Inhalt ist unter einer Creative Commons-Lizenz lizenziert.
