meikel

Danke für die Disteln, Onkel Doktor.

Ich bin schlicht und einfach schreibfaul, aber nicht denkfaul. Allerdings fällt mir auf Anhieb kein vernünftiger Grund ein, Strings wie zB. "viele Grüße" via GET durch die Botanik zu schicken. Sowas würde ich in die Session packen und "drei Seiten später" bei Bedarf wieder rauskramen. Sicher ist das alles wieder viel zu simpel...

Mister Ad

nedelin

Da ich ebenfalls davon sprach, möchte ich mich gern dazu äussern. Du beschreibst mit

nichts anderes, auch wenn Du keine "abenteuerlichen" Termini verwendest. Der Op hat (wie ich auch) das Ganze lediglich unter der Bezeichnung "Vorvalidierung" zusammengefasst.

Soweit ich den Op verstanden habe, steht das auch gar nicht zur Disposition.

Viele Grüße,
dr.

nedelin

Das sehe ich ebenso. Und gerade deshalb brauche ich bei Beschränkung auf ascii kein url en- bzw. decoding

dr.

dr.e.

Wenn "Vorvalidierung" gleich "Anwendungs-übergreifend" und damit nicht die Validierung konkreter Werte darstellt, kann ich mit dem Begriff leben - auch wenn ich ihn nicht besonders treffend finde.

__________________
Viele Grüße,
Dr.E.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1. Think about software design before you start to write code!
2. Discuss and review it together with experts!
3. Choose good tools (-> Adventure PHP Framework (APF))!
4. Write clean and reusable software only!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Renner

Ein Securitycheck sollte an zentraler Stelle richtig positioniert sein. Stichwort: Intrusion Detection.

https://phpids.org/

dr.e.

Security-Check: ja, konkrete Validierung: nein. Genau das ist meine Aussage.

__________________
Viele Grüße,
Dr.E.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1. Think about software design before you start to write code!
2. Discuss and review it together with experts!
3. Choose good tools (-> Adventure PHP Framework (APF))!
4. Write clean and reusable software only!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

drsoong

Ich stelle mir gerade mal den nicht so unüblichen Fall eines Adressformulars vor. Der User tippt bei PLZ statt 81479 irrigerweise München ein, da er in der Zeile verrutscht ist.

Jetzt fragst Du: Soll ich das säubern und mit dem gesäuberten Wert weiterarbeiten oder lieber die Anwendungslogik abbrechen und eine Fehlerseite anzeigen.

Frage: Wie willst Du solche Sachverhalte säubern oder in validen Input transformieren?
Ich denke generell kann das nur schiefgehen, wenn man hier versucht, für jedwede Userdummheit eine säubernde Transformation zu coden.

Was bleibt ist eigentlich nur die Fehlerseite, wobei ich mit Fehlerseite hier das Affenformular meine mit entsprechender Markierung der Fehlerquelle und einem Hinweis für den User.

Säubern würde ich bestenfalls anhand einer Blacklist von malignen Codeelementen, wobei der Blacklistansatz ja auch nicht gerade als "preferable" propagiert wird. Statt säubern könnte man allerdings auch - je nach Anwendungsart - die komplette Session entwerten und den User/Hacker vor die Tür setzen.

__________________
Es ist schon alles gesagt. Nur noch nicht von allen.

advanced_phpler

du musst so oder so alle daten einzeln anschauen. wenn du sicherheitstechnisch strenge reglen setzt, kannst du auch gleich alles rausparsen. Der anwender wird dann naber keine freude haben gibt er z.b. mal eine Telefonnummer "+536/ 456 455 53 " ein.

du kommst also nicht drum rum alle werte einzeln zu betrachten und sie kurz vor Verwendung zu parsen. es gibt keine Zentrale lösung.. ausser ev. das hochkomma vernichten. (+ individuell noch schauen)

bei nummern ist es eigentlich einfach -> was keine zahl ist fliegt raus.
entweder typecasting oder noch besser preq_prepleace "alles was keine zahl ist" .. somit würde auch eine zahl "12-34!ç5*sf6" korrekt interpretiert.
mach ich z.b. so.. kann ja sein das der benutze sich vertippt.

tr0y

Ich glaub nach 4 Monaten hat der das Problem im Griff. Und dir empfehl ich mal die Filter-Mechaniken von PHP zu studieren. preg_* ist meist mit Kanonen auf Spatzen ballern.

__________________
Lasse mir ohne Anwendung von Gewalt Dinge schenken, Amazon weiß darüber bald mehr.

drsoong

Das ist auch nur eine Wunschvorstellung. Leider gibt es in Praxis reine Nummern, die als Userinput kommen, nur selten. Telefonnummern, Postleitzahlen, Hausnummern, Geldbeträge können alle nicht oder nur bedingt mit diesem Ansatz bearbeitet werden. Das einzige was mir da im Moment einfällt sind Mengenangaben, z. B. Anzahl bei Warenkörben.

__________________
Es ist schon alles gesagt. Nur noch nicht von allen.