wie schütze ich ein Formular?

09.12.2004, 12:23

Was muss ich tun, damit mir in meine Formulare niemand HTML oder sogar PHP code eintragen kann?

09.12.2004, 12:26

Eintragen kann der Anwender was er will, du musst nur bei der Verarbeitung der Daten mit htmlentities arbeiten.

Gruß
phpfan

MortakArtos · 09.12.2004, 12:30

Du wandelst alle eingegeben Sonderzeichen mit
http://at.php.net/manual/de/function.htmlentities.php
in HTML-Code um.
Zusätzlich könntest das
http://at.php.net/manual/de/function.nl2br.php
eventuell noch brauchen....

//EDIT bis ich die links habe, ist immer einer vorher :P

09.12.2004, 12:45

:wink:

Danke

fantast · 09.12.2004, 13:04

strip_tags() koennte auch noch interessant sein. mehr sogar noch als die anderen funktionen... hähä

toscho · 09.12.2004, 16:51

Bitte nimm htmlspecialchars(), das genügt normalerweise. htmlentities() ist erstens viel zu gierig und komt zweitens sowieso nicht mit allen eingebbaren Zeichen zurecht.

fantast · 09.12.2004, 19:51

Zitat:

Zitat von toscho

Bitte nimm htmlspecialchars(), das genügt normalerweise. htmlentities() ist erstens viel zu gierig und komt zweitens sowieso nicht mit allen eingebbaren Zeichen zurecht.

wenn du das sagst glaub ich das, du html-gott *g
aber was is wenn man xhtml konform sein moechte, da muss doch eigentlich alles ersetzt werden ?!? ich hab mir angewoehnt htmlentities() zu nutzen...

toscho · 10.12.2004, 11:33

Gerade in XML-Derivaten ist htmlentities() unbedingt zu vermeiden. Denn nicht-validierende XHTML-Parser (lies: Browser) brauchen Entities in XHTML nicht aufzulösen – und viele tun es auch nicht (ältere Mozillen, Safari bis 1.2, Opera bis 7.2 z.B.).
Es reicht völlig, sowohl die Dokumente als auch die Datenbanken mit einer passenden Kodierung zu versehen – normalerweise UTF-8, das enthält alle eingebbaren Zeichen.
Zusätzlich sollte diese Kodierung über den »charset«-Parameter im HTTP-Header dem Empfänger angegeben und das Formular mit dem Attribut »accept-charset« versehen werden.

Es gibt weniger Entities als eingebbare Zeichen. Das bedeutet: Wenn man sich auf htmlentities() verläßt, wird man irgendwann Probleme bekommen. Also löst man das Problem dort, wo es auftritt – der Ebene der Zeichenkodierung.

Thomas, a priori negativ sakral

fantast · 10.12.2004, 12:48

tscho, moriturus te salutat !

werd ich mal schaun, ob ich das umsetzten kann...

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
PHP: Formular Generator	Zergling-new	Tutorials	16	06.07.2010 03:14
Ergebnis von Formular in iFrame zeigen	PsychoEagle	HTML, Usability und Barrierefreiheit	2	22.07.2009 21:07
Wert aus Textfeld in neues Formular übernehmen (kein Submit)	PsychoEagle	HTML, Usability und Barrierefreiheit	9	02.01.2007 14:51
formular an mehrere email-empfänger	katarzyna	PHP Tipps 2006	2	22.08.2006 07:42
formular includen	samspa5	PHP Tipps 2006	13	18.03.2006 11:37
[Erledigt] Formular in Formular		HTML, Usability und Barrierefreiheit	4	19.10.2005 12:18
leeres Formular		PHP Tipps 2005-2	15	05.10.2005 16:49
[Erledigt] PHP Formular ~~wichtig~~		PHP Tipps 2005	27	29.05.2005 19:38
Im Formular user abfragen?		Datenbanken	3	06.01.2005 10:51
Formular nach UPDATE anzeigen		PHP Tipps 2004-2	5	22.12.2004 02:06
[Erledigt] Daten in einem Formular ausgeben und ändern		PHP Tipps 2004-2	7	07.12.2004 17:22
Wie implementiere ich mein Email Formular?		PHP Tipps 2004-2	2	14.11.2004 17:02
Brauche PHP Formular		Beitragsarchiv	9	16.08.2004 16:23
[Erledigt] Formular mit Daten werden auf anderer Seite zusammengefasst		PHP Tipps 2004	4	15.08.2004 15:44
[Erledigt] Daten in neuem Formular anzeigen		PHP Tipps 2004	6	21.07.2004 10:44

09.12.2004, 12:23
Gast Beiträge: n/a	wie schütze ich ein Formular? Was muss ich tun, damit mir in meine Formulare niemand HTML oder sogar PHP code eintragen kann?


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

09.12.2004, 12:26
Gast Beiträge: n/a	Eintragen kann der Anwender was er will, du musst nur bei der Verarbeitung der Daten mit htmlentities arbeiten. Gruß phpfan

09.12.2004, 12:30
MortakArtos Erfahrener Benutzer Registriert seit: 01.02.2008 Beiträge: 187	Du wandelst alle eingegeben Sonderzeichen mit http://at.php.net/manual/de/function.htmlentities.php in HTML-Code um. Zusätzlich könntest das http://at.php.net/manual/de/function.nl2br.php eventuell noch brauchen.... //EDIT bis ich die links habe, ist immer einer vorher :P

09.12.2004, 13:04
fantast Erfahrener Benutzer Registriert seit: 14.01.2004 Beiträge: 2.543	strip_tags() koennte auch noch interessant sein. mehr sogar noch als die anderen funktionen... hähä __________________ Was ist validität?

09.12.2004, 16:51
toscho Erfahrener Benutzer Registriert seit: 26.09.2004 Beiträge: 430	Bitte nimm htmlspecialchars(), das genügt normalerweise. htmlentities() ist erstens viel zu gierig und komt zweitens sowieso nicht mit allen eingebbaren Zeichen zurecht.

10.12.2004, 11:33
toscho Erfahrener Benutzer Registriert seit: 26.09.2004 Beiträge: 430	Gerade in XML-Derivaten ist htmlentities() unbedingt zu vermeiden. Denn nicht-validierende XHTML-Parser (lies: Browser) brauchen Entities in XHTML nicht aufzulösen – und viele tun es auch nicht (ältere Mozillen, Safari bis 1.2, Opera bis 7.2 z.B.). Es reicht völlig, sowohl die Dokumente als auch die Datenbanken mit einer passenden Kodierung zu versehen – normalerweise UTF-8, das enthält alle eingebbaren Zeichen. Zusätzlich sollte diese Kodierung über den »charset«-Parameter im HTTP-Header dem Empfänger angegeben und das Formular mit dem Attribut »accept-charset« versehen werden. Es gibt weniger Entities als eingebbare Zeichen. Das bedeutet: Wenn man sich auf htmlentities() verläßt, wird man irgendwann Probleme bekommen. Also löst man das Problem dort, wo es auftritt – der Ebene der Zeichenkodierung. Thomas, a priori negativ sakral

10.12.2004, 12:48
fantast Erfahrener Benutzer Registriert seit: 14.01.2004 Beiträge: 2.543	tscho, moriturus te salutat ! werd ich mal schaun, ob ich das umsetzten kann... __________________ Was ist validität?