| | | | |
| |||||||
| | LinkBack | Themen-Optionen | Thema bewerten |
03.01.2009, 02:43
| |
| Neuer Benutzer Registriert seit: 02.01.2009
Beiträge: 15
 |  [Erledigt] Zeichen Whitelist erstellen und string überprüfen Ich bin ziemlicher anfänger und habe da eine frage Ich möchte eine Variable überprüfen ich habe jetzt htmlspecialchars verwendet und war eigendlich zufrieden bis ich ein bischen über sicherheit gelesen habe da is mir dann aufgefallen das htmlspecialchars zeichen wie $ und ' zulässt? gibt es eine möglichkeit nur die Zeichen a-z A-Z 0-9 und -_ Zuzulassen ? |
|
 | |
| PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten | |
|
03.01.2009, 02:58
| ||
| Erfahrener Benutzer  Registriert seit: 05.09.2007
Beiträge: 5.044
| Wenn Du bisher htmlspecialchars() verwendet hast ...was willst Du erreichen/wo willst Du das einsetzen? Zitat:
| |
|
|
|
03.01.2009, 03:08
| |
| Neuer Benutzer Registriert seit: 02.01.2009
Beiträge: 15
| ich möchte die usereingabe vom benutzernamen Überprüfen und der sollte nur aus den Zeichen a-z A-Z 0-9 und -_ bestehen dürfen ich hab htmlspecialchars() verwendet aber es werden zeichen wie $ und ' zugelassen auf einer Seite über sicherheit Stand das diese Zeichen gefährlich werden können es stand leider keine lösung dabei wie man die aber sichern könnte ? |
|
|
|
03.01.2009, 03:36
| |
| Erfahrener Benutzer Registriert seit: 05.09.2007
Beiträge: 5.044
| In wie fern gefährlich? Das hängt immer davon ab, wo und wie Du die Daten verwendest. Wenn Du sie innerhalb eines HTML Dokuments ausgeben willst (und sie nicht die Struktur des Dokuments ändern dürfen), verwendest Du htmlspecialchars()/htmlentities(). Diese beiden Funktionen maskieren die Zeichen, die HTML "gefährlich" werden können. Wenn Du die Daten mit mysql_query() verwenden willst, sicherst Du Zeichenketten mit mysql_real_escape_string() ab. usw usw. Von einer Funktion sicherFürAllesUndJedes() halte ich nicht allzuviel. |
|
|
|
03.01.2009, 04:04
| |
| Neuer Benutzer Registriert seit: 02.01.2009
Beiträge: 15
| ok dann sag ich danke ich werde dann vermutlich erstmal die ctype_alnum funktion nehmen auch wenn die user dann keinen _- und kein leerzeichen im usernamen haben dürfen. |
|
|
|
03.01.2009, 13:52
| |
| Moderator Registriert seit: 06.06.2008
Beiträge: 4.945
PHP-Kenntnisse: Fortgeschritten   | Wenn ich in einem Forum ein ' eintippen möchte, und das ' verschwindet, weil der Programmierer das ' wegradiert, dann werde ich eine Mail an den Support schreiben und fragen, wo mein ' geblieben ist. Wenn ein ' in einer Usereingabe so brandgefährlich wäre, dann würde solch eine Seite wie php.de das ' sicher nicht in die Forumdatenbank lassen. Achso: Das gilt auch für " $ / % und andere Sonderzeichen.
__________________ Warum denkt mein Hund eigentlich immer dann, wenn es an der Tür klingelt, es sei für ihn? |
|
|
|
03.01.2009, 17:30
| |
| Erfahrener Benutzer  Registriert seit: 24.04.2008
Beiträge: 3.172
PHP-Kenntnisse: Anfänger | Du musst im Prinzip in Vorhinein abwegen was du bei welcher Feldeingabe erwartest. Und dann kannst z.B. so prüfen. PHP-Code: Mit dem i nach dem Delimiter sagst das zwischen Groß und Klein schreiben kein Unterschied gemacht wird. Bei der Überprüfung eines Login würde ich aber den Modifier i nicht bei der Überprüfung verwenden.
__________________ Aus dem Dynamo Lande kommen wir. Trinken immer reichlich kühles Bier. Und dann sind wir alle voll, die Stimmung ist so toll. Aus dem Dynamo Lande kommen wir. http://www.lit-web.de |
|
|
|
04.01.2009, 01:02
| |
| Neuer Benutzer Registriert seit: 02.01.2009
Beiträge: 15
| hmm schade PHP-Code: Geändert von Anploe (04.01.2009 um 02:10 Uhr). |
|
|
|
04.01.2009, 15:10
| |
| Neuer Benutzer Registriert seit: 27.12.2008
Beiträge: 23
| probier mal PHP-Code: |
|
|
|
05.01.2009, 02:29
| |
| Neuer Benutzer Registriert seit: 02.01.2009
Beiträge: 15
| Uiii danke Bleda das geht bei mir schon mal! jetzt muss ich nur noch rausfinden welchse zeichen was heist und bewirkt schließlich will ichs auch verstehen Danke nochmal für de hilfe |
|
|
| Themen-Optionen | |
| Thema bewerten | |
|
|
Ähnliche Themen | ||||
| Thema | Autor | Forum | Antworten | Letzter Beitrag |
| [Erledigt] in einem string an bestimmter stelle ein zeichen einfügen | litterauspirna | PHP Tipps 2008 | 2 | 21.12.2008 12:06 |
| PHP5 SOAP - Problem mit Arrays | Calexico | PHP-Fortgeschrittene | 0 | 11.09.2008 12:06 |
| String zwischen 1. und 2. Zeichen teilen | BartTheDevil89 | PHP Tipps 2008 | 5 | 29.05.2008 19:01 |
| erste 7 zeichen überprüfen | aircrash | PHP Tipps 2008 | 1 | 28.09.2007 09:11 |
| String nach n Zeichen trennen, ABER Wörter nicht ... | yoshy | PHP-Fortgeschrittene | 6 | 30.09.2006 19:35 |
| Zeichen aus einem String kopieren | PHP Tipps 2006 | 6 | 22.01.2006 15:54 | |
| 2 Zeichen aus einem string löschen | socke | PHP Tipps 2005-2 | 3 | 28.09.2005 05:31 |
| Text zwischen 2 Zeichen in einen Text zu string machen | Blank | PHP Tipps 2005-2 | 8 | 30.07.2005 00:38 |
| String (Dateipfad) auf Länge und Leerzeichen überprüfen | HTML, Usability und Barrierefreiheit | 4 | 03.06.2005 12:34 | |
| ASCII - Zeichen in String einbinden | faux | PHP Tipps 2005 | 10 | 28.05.2005 18:29 |
| nicht erlaubte Zeichen im SQL - String | Datenbanken | 0 | 16.10.2004 11:47 | |
| String darf nur bestimmte Zeichen enthalten | PHP Tipps 2004 | 5 | 05.09.2004 23:05 | |
| Textgrafik aus String erstellen | Schaelle | PHP Tipps 2004 | 2 | 08.08.2004 11:29 |
| Zeilenumbruch nach 82 Zeichen bei einem String | PHP Tipps 2004 | 3 | 05.07.2004 11:23 | |
![[Erledigt] Zeichen Whitelist erstellen und string überprüfen](http://www.php.de/iconimages/php-tipps-2009/erledigt-zeichen-whitelist-erstellen-und-string-ueberpruefen_ltr.gif)
