Frage zur Sicherheit von GET Variablen

malaga · 20.09.2005, 13:17

hallo @all,

ich beschäftige mich gerade etwas mit der sicherheit von get / post variablen. nun hab ich folgendes test-script:

PHP-Code:

  
<?php

 
print '[url="'.$_SERVER['PHP_SELF'].'?send=huhu"]test link[/url]
';

 
if(isset($_REQUEST['send']))

{

    $send = trim($_REQUEST['send']);

    

    if(!preg_match("#^[a-z]+$#", $send))

    {

        print 'böse var';

    }

    else

    {

        switch ($send) 

        {

            case 'huhu':

                        print 'seite huhu wird geladen';

                        break;

            case 'bla':

                        print 'seite bla wird geladen';

                        break;

            case 'test':

                        print 'seite test wird geladen';

                        break;

            default:

                        print 'zur index.php';

                        break;

        }

    }

}

 
?>

nun meine frage, reicht eine prüfung in dieser art oder habt ihr vielleicht ein tip um get / post variablen sicher zu machen.

viele grüsse
malaga

Chr!s · 20.09.2005, 13:28

Ich würde erstmal nicht mit $_REQUEST arbeiten. Denn Request enthält sowohl GET als auch POST Variablen - so kannst du z.B. u.u. schlechter (!) prüfen, von wo die Daten denn nun stammen. (Was von vielen ja nicht gemacht wird).

Ich hoffe dir ist bewusst, was Trim macht

Um Daten zur Weiterverabeitung beispielsweise für Datenbanken zu verwenden benutzt man dieses:

http://de.php.net/mysql_real_escape_string

imported_Ben · 20.09.2005, 13:31

Zitat:

Zitat von Chr!s

Denn Request enthält sowohl GET als auch POST Variablen

Da ist noch mehr drin

Zitat:

Zitat von Chr!s

Ich hoffe dir ist bewusst, was Trim macht

Warum sollte es nicht?

Zitat:

Zitat von Chr!s

Um Daten zur Weiterverabeitung beispielsweise für Datenbanken zu verwenden benutzt man dieses:

http://de.php.net/mysql_real_escape_string

Oder man liest alternativ mal diesen Thread hier:

SQL-Injection verhindern

Wenn es nur darum geht je nach $_GET-Parameter eine Seite per include und Co. einzubinden, dann schau dir mal das hier an:

http://www.phpfriend.de/forum/ftopic21590-25.html

Grüße Ben.

malaga · 20.09.2005, 13:36

hi,

danke dir.

Mit trim() kann man innerhalb eines Strings ($send) überflüssige Zeichen am Anfang und Ende entfernen lassen, z.b. Leerzeichen oder?

wie würdest du prüfen von wo die daten kommen?

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Klasse statt globaler Variablen	ecomeback	PHP-Fortgeschrittene	6	15.07.2008 16:30
Datei mit Variablen so includen, dass Variablen nutzbar?	BartTheDevil89	PHP Tipps 2008	6	22.01.2008 20:57
Teil einer Variablen mit einer Variablen ersetzen ?	simsalabim	PHP Tipps 2007	11	20.03.2007 20:36
[Erledigt] Variablen auf Fremde Webseiten herausfinden ?!		PHP Tipps 2007	11	30.11.2005 12:57
Variable aus Variablen zusammensetzen	juhuwoorps	PHP Tipps 2007	1	28.11.2005 21:50
PHP 4.4.1 unter IIS 6.0, vordefinierte Variablen -! CLOSED !		PHP-Fortgeschrittene	9	25.11.2005 13:08
[Erledigt] Viele Variablen initialisieren		PHP-Fortgeschrittene	2	11.10.2005 11:45
Frage zu Speicherreservierung in PHP	FiSiHRO	PHP Tipps 2005-2	4	13.09.2005 12:00
[Erledigt] Variablen Übergabe-2Seiten		PHP Tipps 2005-2	4	29.08.2005 17:33
In Fuktionen alle Variablen Global stellen ?	atom-dragon	PHP Tipps 2005-2	5	22.07.2005 04:30
Frage zu SSL Kanal!	Broadcast	PHP-Fortgeschrittene	2	20.06.2005 15:39
Kleine PHP-Gallery -> Frage zu Variablen		PHP Tipps 2005	12	04.03.2005 17:58
[Erledigt] register globals off bei variablen Variablen...		PHP Tipps 2005	4	25.01.2005 17:50
Frage zur Sicherheit von Datenbankpasswörtern		PHP Tipps 2004	2	14.08.2004 18:29
Variablen per adresse übergeben	rocco	PHP Tipps 2004	7	24.07.2004 12:03

20.09.2005, 13:17
malaga Benutzer Registriert seit: 07.02.2005 Beiträge: 56	Frage zur Sicherheit von GET Variablen hallo @all, ich beschäftige mich gerade etwas mit der sicherheit von get / post variablen. nun hab ich folgendes test-script: PHP-Code: <?php print '[url="'.$_SERVER['PHP_SELF'].'?send=huhu"]test link[/url] '; if(isset($_REQUEST['send'])) { $send = trim($_REQUEST['send']); if(!preg_match("#^[a-z]+$#", $send)) { print 'böse var'; } else { switch ($send) { case 'huhu': print 'seite huhu wird geladen'; break; case 'bla': print 'seite bla wird geladen'; break; case 'test': print 'seite test wird geladen'; break; default: print 'zur index.php'; break; } } } ?> nun meine frage, reicht eine prüfung in dieser art oder habt ihr vielleicht ein tip um get / post variablen sicher zu machen. viele grüsse malaga


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

20.09.2005, 13:28
Chr!s Erfahrener Benutzer Registriert seit: 27.10.2004 Beiträge: 1.093 PHP-Kenntnisse: Fortgeschritten	Ich würde erstmal nicht mit $_REQUEST arbeiten. Denn Request enthält sowohl GET als auch POST Variablen - so kannst du z.B. u.u. schlechter (!) prüfen, von wo die Daten denn nun stammen. (Was von vielen ja nicht gemacht wird). Ich hoffe dir ist bewusst, was Trim macht Um Daten zur Weiterverabeitung beispielsweise für Datenbanken zu verwenden benutzt man dieses: http://de.php.net/mysql_real_escape_string

20.09.2005, 13:36
malaga Benutzer Registriert seit: 07.02.2005 Beiträge: 56	hi, danke dir. Mit trim() kann man innerhalb eines Strings ($send) überflüssige Zeichen am Anfang und Ende entfernen lassen, z.b. Leerzeichen oder? wie würdest du prüfen von wo die daten kommen?