Cyperfriend
Der ohne Avatar
- Registriert
- 14 Juli 2013
- Beiträge
- 1.123
Wie in diesem Thread geschrieben habe ich mir ein tolles CSS-Formular gebastelt.
Nun würde ich gerne den nächsten Schritt gehen und die Daten an eine Datenbank schicken. Das aber so manipulationssicher wie möglich. Wenn man im Internet so sucht stößt man schnell auf eine Reihe von Befehlen, aber mir wurde nie so wirklich klar, wann welcher Befehl nun der Richtige ist und welche zwar erwähnt, aber von der Sache her unwichtig / in anderen bereits eingefasst sind.
Den Befehl mysql_real_escape_string kennt wohl jeder, scheint mir aber nur der Anfang zu sein. Jemand sagte mir mal, dass man die Variablen vorher in einen string umwandeln sollte, also $_POST['irgendwas'] = string($_POST['irgendwas']) bevor sie in den Datenbankstring wandern. Ich habe keine Ahnung was das bewirken soll. Ich habe gestern noch eine Seite gefunden, wo man mit Angriffsszenarios und was man alles dagegen machen kann regelrecht erschlagen wird, kann sie aber jetzt nicht mehr finden.
Außerdem bin ich auf dieser Seite über ein Tool gestolpert, dass Scripte wohl automatisiert auf Schwachstellen prüfen können soll. Kennt jemand dieses Tool und ist es vertrauenswürdig, bzw. taugt es was?
Beim Auslesen wird die Situation nicht besser. Als erstes kenne ich htmlspecialchars. Es gibt da aber noch eine "Abwandlung" von, nennt sich htmlentities die wohl etwas aggressiver vorgeht. Wann ist der Einsatz welches Befehls gegeben und was muss noch alles beachtet werden?
Ein Angriffsszenario welches ich kenne besteht darin, dass man beispielsweise eigene Werte in ein Auswahlfeld einschleust. Wie unterbindet man sowas beispielsweise? Welche Befehle sind für ein sicheres Formular noch von Relevanz und welche kann man eigentlich vergessen, bzw. spielen nur in bestimmten Situationen (Mail / File-Upload) eine Rolle?
Nun würde ich gerne den nächsten Schritt gehen und die Daten an eine Datenbank schicken. Das aber so manipulationssicher wie möglich. Wenn man im Internet so sucht stößt man schnell auf eine Reihe von Befehlen, aber mir wurde nie so wirklich klar, wann welcher Befehl nun der Richtige ist und welche zwar erwähnt, aber von der Sache her unwichtig / in anderen bereits eingefasst sind.
Den Befehl mysql_real_escape_string kennt wohl jeder, scheint mir aber nur der Anfang zu sein. Jemand sagte mir mal, dass man die Variablen vorher in einen string umwandeln sollte, also $_POST['irgendwas'] = string($_POST['irgendwas']) bevor sie in den Datenbankstring wandern. Ich habe keine Ahnung was das bewirken soll. Ich habe gestern noch eine Seite gefunden, wo man mit Angriffsszenarios und was man alles dagegen machen kann regelrecht erschlagen wird, kann sie aber jetzt nicht mehr finden.
Außerdem bin ich auf dieser Seite über ein Tool gestolpert, dass Scripte wohl automatisiert auf Schwachstellen prüfen können soll. Kennt jemand dieses Tool und ist es vertrauenswürdig, bzw. taugt es was?
Beim Auslesen wird die Situation nicht besser. Als erstes kenne ich htmlspecialchars. Es gibt da aber noch eine "Abwandlung" von, nennt sich htmlentities die wohl etwas aggressiver vorgeht. Wann ist der Einsatz welches Befehls gegeben und was muss noch alles beachtet werden?
Ein Angriffsszenario welches ich kenne besteht darin, dass man beispielsweise eigene Werte in ein Auswahlfeld einschleust. Wie unterbindet man sowas beispielsweise? Welche Befehle sind für ein sicheres Formular noch von Relevanz und welche kann man eigentlich vergessen, bzw. spielen nur in bestimmten Situationen (Mail / File-Upload) eine Rolle?
Zuletzt bearbeitet: