Hi,
ganz simple frage...
ich muss doch die eingaben im formular nicht tiefgreifend prüfen wenn ich danach die ausgaben mit htmlspecialchars oder mysql_real_escape_string bearbeite oder?
wenn ich die eingaben danach sowieso mit den hsc und mres bearbeite dann bedarf es doch im formular keiner weiteren prüfung (bis auf wie die eingabe aussehen sollte.. z.b. telefonnummer nur nummern keine schrägstriche, etc. )
das ist doch trotzdem sicher? oder hab ich da was übersehen?
danke!
-
formular und prüfen der eingabe...
-
das ist soweit klar...
mir ging es jetzt speziell nur um ein kontaktformular bei dem die daten auch nicht in einer db speicher..
speziell das nachrichten fenster... hier lasse ich einfach alle sonderzeichen zu.. (die alle einzeln aufzuführen wäre wohl zuviel des guten, vor allem auch weil ich die nachricht nicht in einer db speicher...)
zeichenbegrenzung, bustaben in telefonnummer.. sowas wird natürlich trotzdem noch gefiltert... -
Wenn du nicht komplett validierst können aber teilweise Dinge passieren die nicht gewünscht sind.
Werte zu lang (passen nicht in die Datenbankspalte), falsche Werte (Buchstaben in einem Integerfeld oder Texte in ein Datefeld). Eigentlich solltest du schon immer entsprechend prüfen.Einen Kommentar schreiben:
-
genau, die punkte die du angesprochen hast...bis auf wie die eingabe aussehen sollte.. z.b. telefonnummer nur nummern keine schrägstriche, etc. )
aber rein von der sicherheit ist es ja egal... genau das wollte ich wissen
dank dir nikosch..Einen Kommentar schreiben:
-
Validierung und Filter dienen mehr als nur der Sicherheit
- Feedback für den Anwender (Deine Postleitzahl ist nur 4-stellig)
- Plausibilitätsprüfung (Eine Newsletteranmeldung an example.com kann braucht man nicht speichern)
- Eingabenormalisierung (trim, Telefonnummer im einheitlich etc.)Einen Kommentar schreiben:
Einen Kommentar schreiben: