[Erledigt] Formular - Sicherheit mit Filtern

kurtmos · 14.12.2009, 18:04

Hallo,

ich habe trotz vielen Tipps (oder gerade deswegen) noch immer nicht das (perfekte) Kontaktformular gefunden.

Jetzt habe ich gelernt, dass ab PHP 5.2 spezielle Filter vorhanden sind um Benutzereingaben zu filtern.

Bisher habe ich die Eingaben immer so gereinigt

PHP-Code:

  // HTML- und PHP-Code entfernen.

$inhalt = strip_tags($inhalt);

// Umlaute und Sonderzeichen in

//HTML-Schreibweise umwandeln

$inhalt = htmlspecialchars($inhalt);

// Entfernt überflüssige Zeichen

// Anfang und Ende einer Zeichenkette

$inhalt = trim($inhalt);

// Backslashes entfernen

$inhalt = stripslashes($inhalt);

Kann ich auf die "Reinigung" verzichten wenn ich die Filter verwende?

Arbeiten die Filter wirklich zuverlässig?

Hat jemand einen Link zu einen Tutorial über ein (normales) Kontaktformular, ohne DB, welches erklärt welche Sicherheitsvorkehrungen getroffen werden sollen und erklärt warum, bzw. was passieren kann wenn diese Sicherung nicht besteht?

nikosch · 14.12.2009, 18:13

Ob ein Filter sinnvoll oder wirkungsvoll ist, hängt immer vom Kontext (Daten sollen in DB geschrieben, ausgegeben, in eine Datei geschrieben, irgendwo verglichen werden) und den Vorbedingungen (magic_quotes_gpc etc.) ab.

Destruction · 14.12.2009, 18:13

PHP-Code:

  filter_var

Ist nur zur Überprüfung, falls du das meinst!

nikosch · 14.12.2009, 18:25

Ähm, nö?

Zitat:

Return Values
Returns the filtered data, or FALSE if the filter fails.

kurtmos · 14.12.2009, 18:48

Die Daten sollen nur per mail an eine vorher bestimmte Adresse gehen, ohne DB.

Dreamwatcher · 14.12.2009, 19:48

Dann musst du den Inhalt und die Betreffzeile doch nur passend zu dem benutzten Header konvertieren (Umlaute) + vllt. noch htmlspecialchars und den Mailadressen-Aufbau überprüfen.
Mehr wüsste ich grade nicht. Lasse mich aber auch gerne belehren.

Oder willst du das mit diesem neuen Filter (mit dem ich mich ebenfalls noch nicht beschäftigt habe) von PHP 5.2 machen?

draco88 · 14.12.2009, 19:53

Die Funtion filter_var bringt nur etwas, wenn du genau weißt, was in ein Feld eingegeben werden darf und was nicht(nur int, nur bool, nur email etc).
Bei Freitext musst du weiter machen wie bisher, da hilft die neue Funtion nicht weiter.

lg
draco

kurtmos · 14.12.2009, 19:58

Ziel ist es ein Kontaktformular zu erstellen, welches die Daten an eine E-Mailadresse übermittelt. Es sollen keine Daten in eine Datenbank geschrieben werden.

Jetzt sollen die eingebenen Daten natürlich auf Sinn, aber auch auf Sicherheit kontrolliert werden.

Ideal wäre natürlich ein Tutorial, welches erklärt welche Gefahren es gibt (z. B. XSS) und wie man diese Absichert.

Jetzt gibt es verschieden Möglichkeiten: strip_tags; htmlspecialchars; trim; stripslashes;

Aber seit 5.2 sind auch Filter eingeführt worden.

Reichen die Filter zur Überprüfung aus, oder muss man trotzdem noch z. B. htmlspecialchars filtern?

// Mail filtern

PHP-Code:

  $email = 'test@test.de';

    if(filter_var($email, FILTER_VALIDATE_EMAIL)){

        echo $email . ' ist eine gültige Mailadresse!<br/>';

    }else{

        echo $email . ' ist keine korrekte Mailadresse!<br/>';

    }

nikosch · 14.12.2009, 19:58

Zitat:

(nur int, nur bool, nur email etc).

Mnjoa, n bissel mehr ist das schon.

PHP: Einführung - Manual

Filter wie FILTER_SANITIZE_STRING sind schon recht mächtig.

kurtmos · 14.12.2009, 20:29

Zitat:

Zitat von nikosch

Mnjoa, n bissel mehr ist das schon.

PHP: Einführung - Manual

Filter wie FILTER_SANITIZE_STRING sind schon recht mächtig.

Gehe ich recht in der Annahme, dass die Filter noch nicht so verbreitet sind

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
PHP: Formular Generator	Zergling-new	Tutorials	16	06.07.2010 03:14
Brauche Hilfe bei Formular	Singular	PHP Tipps 2009	8	12.12.2009 22:34
[Erledigt] Formular ergebnisse direkt unter Formular ausgeben	www.donald.com^	PHP Tipps 2009	3	16.11.2009 17:20
[Erledigt] Aus Formular verschiedene andere Formulare aufrufen	melz	PHP Tipps 2009	11	11.09.2009 12:27
PHP Formular - EMail versand - Sicherheit vor Spam	Martyi	Server, Hosting und Workstations	6	30.04.2009 22:34
PDF Formular ausfüllen mit PHP Formular	oomworld	PHP Tipps 2009	1	26.03.2009 19:09
Wie würdet ihr das Formular submitten?	pras	Datenbanken	5	05.03.2009 21:33
Problem mit Formular, Daten an datenbank senden	Aurec	PHP Tipps 2008	11	20.11.2008 18:17
Wert aus Textfeld in neues Formular übernehmen (kein Submit)	PsychoEagle	HTML, Usability und Barrierefreiheit	9	02.01.2007 14:51
formular includen	samspa5	PHP Tipps 2006	13	18.03.2006 11:37
[Erledigt] Formular in Formular		HTML, Usability und Barrierefreiheit	4	19.10.2005 12:18
[Erledigt] PHP Formular ~~wichtig~~		PHP Tipps 2005	27	29.05.2005 19:38
Im Formular user abfragen?		Datenbanken	3	06.01.2005 10:51
[Erledigt] Daten in einem Formular ausgeben und ändern		PHP Tipps 2004-2	7	07.12.2004 17:22
[Erledigt] Daten in neuem Formular anzeigen		PHP Tipps 2004	6	21.07.2004 10:44

14.12.2009, 18:04
kurtmos Neuer Benutzer Registriert seit: 09.11.2009 Beiträge: 27 PHP-Kenntnisse: Anfänger	[Erledigt] Formular - Sicherheit mit Filtern Hallo, ich habe trotz vielen Tipps (oder gerade deswegen) noch immer nicht das (perfekte) Kontaktformular gefunden. Jetzt habe ich gelernt, dass ab PHP 5.2 spezielle Filter vorhanden sind um Benutzereingaben zu filtern. Bisher habe ich die Eingaben immer so gereinigt PHP-Code: `// HTML- und PHP-Code entfernen. $inhalt = strip_tags($inhalt); // Umlaute und Sonderzeichen in //HTML-Schreibweise umwandeln $inhalt = htmlspecialchars($inhalt); // Entfernt überflüssige Zeichen // Anfang und Ende einer Zeichenkette $inhalt = trim($inhalt); // Backslashes entfernen $inhalt = stripslashes($inhalt);` Kann ich auf die "Reinigung" verzichten wenn ich die Filter verwende? Arbeiten die Filter wirklich zuverlässig? Hat jemand einen Link zu einen Tutorial über ein (normales) Kontaktformular, ohne DB, welches erklärt welche Sicherheitsvorkehrungen getroffen werden sollen und erklärt warum, bzw. was passieren kann wenn diese Sicherung nicht besteht?


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

14.12.2009, 18:13
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.990 PHP-Kenntnisse: Fortgeschritten	Ob ein Filter sinnvoll oder wirkungsvoll ist, hängt immer vom Kontext (Daten sollen in DB geschrieben, ausgegeben, in eine Datei geschrieben, irgendwo verglichen werden) und den Vorbedingungen (magic_quotes_gpc etc.) ab. __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

14.12.2009, 18:13
Destruction Erfahrener Benutzer Registriert seit: 05.02.2009 Beiträge: 1.401 PHP-Kenntnisse: Fortgeschritten	PHP-Code: `filter_var` Ist nur zur Überprüfung, falls du das meinst! __________________ "Dummheit redet viel..Klugheit denkt und schweigt.." [Amgervinus]

14.12.2009, 18:48
kurtmos Neuer Benutzer Registriert seit: 09.11.2009 Beiträge: 27 PHP-Kenntnisse: Anfänger	Die Daten sollen nur per mail an eine vorher bestimmte Adresse gehen, ohne DB.

14.12.2009, 19:48
Dreamwatcher Erfahrener Benutzer Registriert seit: 01.12.2009 Beiträge: 109 PHP-Kenntnisse: Anfänger	Dann musst du den Inhalt und die Betreffzeile doch nur passend zu dem benutzten Header konvertieren (Umlaute) + vllt. noch htmlspecialchars und den Mailadressen-Aufbau überprüfen. Mehr wüsste ich grade nicht. Lasse mich aber auch gerne belehren. Oder willst du das mit diesem neuen Filter (mit dem ich mich ebenfalls noch nicht beschäftigt habe) von PHP 5.2 machen?

14.12.2009, 19:53
draco88 Erfahrener Benutzer Registriert seit: 01.12.2009 Beiträge: 645 PHP-Kenntnisse: Fortgeschritten	Die Funtion filter_var bringt nur etwas, wenn du genau weißt, was in ein Feld eingegeben werden darf und was nicht(nur int, nur bool, nur email etc). Bei Freitext musst du weiter machen wie bisher, da hilft die neue Funtion nicht weiter. lg draco

14.12.2009, 19:58
kurtmos Neuer Benutzer Registriert seit: 09.11.2009 Beiträge: 27 PHP-Kenntnisse: Anfänger	Ziel ist es ein Kontaktformular zu erstellen, welches die Daten an eine E-Mailadresse übermittelt. Es sollen keine Daten in eine Datenbank geschrieben werden. Jetzt sollen die eingebenen Daten natürlich auf Sinn, aber auch auf Sicherheit kontrolliert werden. Ideal wäre natürlich ein Tutorial, welches erklärt welche Gefahren es gibt (z. B. XSS) und wie man diese Absichert. Jetzt gibt es verschieden Möglichkeiten: strip_tags; htmlspecialchars; trim; stripslashes; Aber seit 5.2 sind auch Filter eingeführt worden. Reichen die Filter zur Überprüfung aus, oder muss man trotzdem noch z. B. htmlspecialchars filtern? // Mail filtern PHP-Code: `$email = 'test@test.de'; if(filter_var($email, FILTER_VALIDATE_EMAIL)){ echo $email . ' ist eine gültige Mailadresse!<br/>'; }else{ echo $email . ' ist keine korrekte Mailadresse!<br/>'; }`