RegEx - Zeilenumbrüche erkennen

**penizillin** · 05.08.2006, 19:33

vielleicht ist

PHP-Code:


'\n'

nicht dasselbe wie

PHP-Code:


"\n"

**xray** · 05.08.2006, 20:03

Kann ich das so verstehen das die Eingabe von z.B. \n in einem Input Feld generell als String "\n" und nicht als Steuerzeichen '\n' behandelt wird?

**penizillin** · 05.08.2006, 20:10

auch.

[...] als String "\n" und nicht als Steuerzeichen '\n' [...]

andersherum.

**3DMax** · 05.08.2006, 20:14

hängt auch von vom schalter magic_quotes_gpc ab, ob auf get/post ein addslashes() ausgeführt wird.

**xray** · 05.08.2006, 20:38

@penizillin
Wenn die vermeintlichen Steuerungszeichen als Strings übergeben
werden, braucht man diese doch eigentlich nicht zu überprüfen, oder?
Vorausgesetzt man stellt sicher das die Eingaben auch wirklich über
das Formular getätigt werden und nicht anderweitig an das Script
gesendet werden. Dann müsste doch eine Überprüfung der
Hexadezimalen Werte ausreichen.

@3DMax
magic_quotes_gpc hab ich per .htaccess auf off gestellt. Es wird nicht
gequotet.

**3DMax** · 05.08.2006, 21:31

Re: RegEx - Zeilenumbrüche erkennen

Original geschrieben von xray
Nun hat sich beim Testen aber gezeigt das die Zeilenumbrüche die mit \n, \r bzw. \r\n eingeschleust werden nicht gefunden werden.

mal was anderes, hast du auch die anderen ausdrücke getestet? bei mir kommt kein einziger durch.
irgendwie auch logisch, bei zwei klammer-ausdrücken - muss ja zwingend aus jeder klammer einer vorhandensein, ohne zwischenzeichen, nicht mal space.

**xray** · 05.08.2006, 22:07

Re: Re: RegEx - Zeilenumbrüche erkennen

Original geschrieben von 3DMax
hast du auch die anderen ausdrücke getestet?

Ja. Das Beides vorkommen soll ergab sich beim testen, da ja ein Zeilenumbruch Voraussetzung zum exploiten ist in diesem Fall... ist natürlich nichts fertiges

**3DMax** · 05.08.2006, 22:28

Re: Re: Re: RegEx - Zeilenumbrüche erkennen

Original geschrieben von xray
da ja ein Zeilenumbruch Voraussetzung zum exploiten ist ...

dann reicht doch die überprüfung darauf, warum dann noch alles aufzählen, was in diesem zusammenhang verboten ist (vielleicht hast du etwas vergessen) - und dann?
das was du machst, ist ein blacklist-check.
besser, ein whitelist-check - zeichen explizit erlauben, wenn möglich, und nur diese zeichen.

aber ich kenne mich mit dem thema e-mail-injections zu wenig aus, um dir da tipps zu geben, worauf man alles achten muss.
neulich gabs einen interessanten thread dazu - suchfunktion. dort hatte ich auch einen heise-link dazu gepostet.

[EDIT]
und verlass dich nicht auf alles, was du in der .htacces einstellst.
hat es php auch übernommen? echo (int)get_magic_quotes_gpc();

**penizillin** · 06.08.2006, 01:04

Original geschrieben von xray
@penizillin
Wenn die vermeintlichen Steuerungszeichen als Strings übergeben
werden, [...]

nein, das stimmt so nicht ganz - natürlich ist "das gesamte", was übertragen wird, ein string. jedoch interpretiert php in _deinem_ code die steuerzeichen nur dann als solche, wenn du sie in anführungsstriche setzst. andernfalls werden sie als eine zeichenkette, etwa "[backslash][n]" aufgefasst (und eignen sich somit nicht zum abfangen mittels regulärer ausdrücke).

aber im großen und ganzen - wozu die ganze mühe?
lass einfach nicht zu, dass sich die user-eingabe mit den headers kreuzt.

RegEx - Zeilenumbrüche erkennen