$_POST Inhalte prüfen

**Shurakai** · 12.09.2005, 20:50

z.B. htmlentities benutzen

**hhcm** · 12.09.2005, 20:53

Selbst wenn versteckte Befehle drin stehen, musst ja nicht alles verarbeiten.

Deine Anwendung benutzt $_POST["user"] und $_POST["pass"]
warum sollte dich ein (wie auch immer) eingeschleustes $_POST["format C:"] interessieren?

Kannst z.B mit

print_r($_POST) auch gerne mal nachsehen ob da was nicht gewolltes drinsteht...

**westberlin** · 12.09.2005, 22:23

Ich prüfe meisten so:
3 Beispiele mit errorhandling...
[pseudo]

PHP-Code:


$checked_plz = isset($_POST['plz']) ? $_POST['plz']+0 : 0;

             if ($checked_plz == 0 || strlen($_POST['plz']) != 5){

                     $error[] = 1;

            }



                 $mobil = 0;

                 if ($_POST['mobil'] == 1){

                     $mobil = 1;

            }



                 if(!preg_match('/^[a-zA-ZäöüÄÖÜ\/ -]{3,30}$/',$_POST['name'])){

                         $error[] = 4;

        }



if(count($error) > 0){



            $code = implode('-',$error);

                         if(in_array(1, $error))

                             echo "*plz nicht korrekt!<br>";

// evtl. weitere verwendung der fehlercodes...                         

header("location: blabla.php?code=$code");

exit;

                         

            }

// keine fehler, weiter gehts...

**Wurzel** · 12.09.2005, 22:55

in $_POST / $_GET steht das drin, was ich im script erwarte, also prüfe ich auch darauf ... strings werden entwertet, je nach bedarf htmlentities/mysql_escape_string/strip_tags etc. pp. ... zahlenwerte explizit auf float/int gesetzt ... sonderfälle mit regexp geprüft.

was nicht ins raster ^^ passt ... fliegt in die ablage "p".

bei $_FILES sollte man ggfs. shell-zugriff haben, um generell unerwünschte daten vom server fernzuhalten.

**ExInfernis** · 12.09.2005, 23:31

Bei einem meiner Projekte liegen alle Variablennamen mit ihrer Typbezeichnung in ner DB.
Dazu gibts ne Funktion die alle POST, GET, ... Variablen mit dieser Tabelle abgleicht, also überprüft ob diese Variable überhaupt existieren darf und wenn ja ob der Typ stimmt. Wird ein schwarzes Schaaf gefunden erfolgt ein eintrag in meiner error-history.
Ist natürlich etwas aufwendig dafür aber sehr sicher.

**ghostgambler** · 13.09.2005, 05:52

Original geschrieben von ExInfernis
Bei einem meiner Projekte liegen alle Variablennamen mit ihrer Typbezeichnung in ner DB.
Dazu gibts ne Funktion die alle POST, GET, ... Variablen mit dieser Tabelle abgleicht, also überprüft ob diese Variable überhaupt existieren darf und wenn ja ob der Typ stimmt. Wird ein schwarzes Schaaf gefunden erfolgt ein eintrag in meiner error-history.
Ist natürlich etwas aufwendig dafür aber sehr sicher.

wiedermal ein perfekter Overkill für die Datenbank, bei einem größerem (großen) Projekt

**kaguya** · 13.09.2005, 09:18

das wollte ich auch gerade sagen
man sollte immer versuchen möglichst wenige queries zu benutzen, das was du machst kannst du sicherlich auch mit textdateien oder ganz anders lösen.

**ghostgambler** · 13.09.2005, 16:58

Original geschrieben von kaguya
das was du machst kannst du sicherlich auch mit textdateien

das ist genauso der perfekte Overkill für das Filesystem

**ExInfernis** · 13.09.2005, 17:28

Die Db ist nur klein und steht auf nem eigenen Server.
Hatte einfach Lust es umzusetzen.

**ghostgambler** · 13.09.2005, 17:53

Original geschrieben von ExInfernis
Die Db ist nur klein und steht auf nem eigenen Server.
Hatte einfach Lust es umzusetzen.

kannst du ja auch tun, aber für 120%-Projekte/Server sind solche Spielereien nichts

**kaguya** · 13.09.2005, 19:59

naja dann eben ganz ohne speichern
ich meinte nur das es im filesystem besser ist als in ner db, mysql hält bekanntlich nicht viel aus

**ghostgambler** · 13.09.2005, 20:07

Original geschrieben von kaguya
mysql hält bekanntlich nicht viel aus

Woher hast du das denn?

**kaguya** · 14.09.2005, 08:43

von leuten die sich auskennen

ich kenne da jemanden der macht sowas seit 14 jahren, unter anderem hat er seit 1999 eine shop software und der meint das seine konkurrenz mit MYSQL shops sehr viel schneller an ihre grenzen kommt als er mit seinen gut durchdachten csv datenbanken, alleine was Artikelanzahl angeht. Da ein Shop sehr klickintensiv ist und viele shops in der db etliche verknüpfungen mit tabellen für variationen oder andere sprachen haben wir das ganze ab 10.000 artikeln sehr viel langsamer als bei text dateien.

und im vergleich zu zb xtcommerce ist sein shop ne ecke schneller.

bei foren etc kann man auf mysql natürlich nicht verzichten aber ich finde man sollte sich db anfragen sparen wo man kann.

**programmer** · 14.09.2005, 10:39

und im vergleich zu zb xtcommerce ist sein shop ne ecke schneller.

was wohl von der programmierung abhängt, ich denke unter gleichen voraussetzungen ist ne datenbank um längen schneller wie textdateien. dazu muss die anwendung und die datenbank auch auf performance designed werden, was in vielen anwendungen nicht der fall ist.

aber zur eigentlichen frage:

prüfe alle POST-Variablen so genau wie möglich, wie scho westberlin geschrieben hat:

Was wird erwartet? nur zahlen, dann akzeptiere nur zahlen.
nur text?, dann akzeptiere nur text.

Filtere zusätzliche Zeichen aus, die keinen sinn machen (Zeilenumbrüche etc....)

und htmlentities() verwenden.

Selbst wenn versteckte Befehle drin stehen, musst ja nicht alles verarbeiten.

Deine Anwendung benutzt $_POST["user"] und $_POST["pass"]
warum sollte dich ein (wie auch immer) eingeschleustes $_POST["format C:"] interessieren?

verarbeitet wird das doch dann aber meistens in ner datenbankanfrage, und dafür sollte es schon so geprüft werden, dass keine SQL-Befehle eingeschleust werden können.

$_POST Inhalte prüfen