Zitat:
|
und im vergleich zu zb xtcommerce ist sein shop ne ecke schneller.
|
was wohl von der programmierung abhängt, ich denke unter gleichen voraussetzungen ist ne datenbank um längen schneller wie textdateien. dazu muss die anwendung und die datenbank auch auf performance designed werden, was in vielen anwendungen nicht der fall ist.
aber zur eigentlichen frage:
prüfe alle POST-Variablen so genau wie möglich, wie scho westberlin geschrieben hat:
Was wird erwartet? nur zahlen, dann akzeptiere nur zahlen.
nur text?, dann akzeptiere nur text.
Filtere zusätzliche Zeichen aus, die keinen sinn machen (Zeilenumbrüche etc....)
und htmlentities() verwenden.
Zitat:
Selbst wenn versteckte Befehle drin stehen, musst ja nicht alles verarbeiten.
Deine Anwendung benutzt $_POST["user"] und $_POST["pass"]
warum sollte dich ein (wie auch immer) eingeschleustes $_POST["format C:"] interessieren?
|
verarbeitet wird das doch dann aber meistens in ner datenbankanfrage, und dafür sollte es schon so geprüft werden, dass keine SQL-Befehle eingeschleust werden können.