User-Input is evil - aber wie evil ist evil eigentlich?

Neither

Dabei seit: 03.02.2011

Beiträge: 127
#1

User-Input is evil - aber wie evil ist evil eigentlich?

12.12.2014, 13:05

Hallo,

ich habe mal eine zugegeben wahrscheinlich blöde Frage.
Userinput muss geprüft werden. Auf Sicherheit und sinnvollen Inhalt. Keine Frage. Idealerweise prüfe ich jeden Inhalt auch spezifisch nach Herkunft und Zweck, auch (vermutlich) keine Frage.

Wenn ich einen Wert empfange und über POST oder GET anspreche, muss ich dann (idealerweise und aus Sicherheitsgründen) schon bei einer einfachen Zuweisung in der Art

PHP-Code:

$unsichererWert = $_GET['EingabeDesSchreckens'];

mit dem Allerallerschlimmsten rechnen und schon in diesem Moment schon einen Filter bei der Zuweisung Filter vorschalten?
Massenhafte Anweisungen in der Art

PHP-Code:

$sichererWert = filter_var($_GET['neuerUser'], FILTER_SANITIZE_STRING));

sind ja nicht gerade schön und ich würde die Bereinigung lieber später in speziellen Funktionen machen?
Stichworte: sicherheit, userinput

Mr Ad

Info(r)Matiker

tr0y

Dabei seit: 26.07.2010

Beiträge: 12667
#2

12.12.2014, 13:07

Die Zuweisung spar dir, sanitizing und validation vor der Nutzung, fall spezifisch. Nichts weiter.

[URL="https://gitter.im/php-de/chat?utm_source=share-link&utm_medium=link&utm_campaign=share-link"]PHP.de Gitter.im Chat[/URL] - [URL="https://raindrop.io/user/32178"]Meine öffentlichen Bookmarks[/URL] ← Ich habe dir geholfen ? [B][URL="https://www.amazon.de/gp/wishlist/348FHGUZWTNL0"]Beschenk mich[/URL][/B].
Kommentar

Ankündigung