Tweet
Als Anfänger du ich mich noch mit dem sicheren Code schreiben sehr schwer.
Habe ein selbstreferenzierendes Formular. Nach dem Senden validiere ich einige Felder auf richtige Eingabe. Jetzt habe ich Probleme damit wann ich "htmlspecialchars" verwende und sollte ich auch "trim" verwenden?
Speichere nach Senden die $_POST - Variablen in einer Variable die ich mit trim und htmlspecialchars bearbeite. Diese bearbeitete Variable wird später noch mit mysqli_real_escape_string bearbeitet und in die Datenbank geschrieben. Ist diese Vorgehensweise gut ???
In der Datenbank befindet sich ja dann die codierten html Zeichen? Oder macht das nichts?
Vielleicht könnt Ihr auch noch über meinen Code schauen ob ich da noch Fehler habe oder sich etwas verbessern lässt?
Danke
Habe ein selbstreferenzierendes Formular. Nach dem Senden validiere ich einige Felder auf richtige Eingabe. Jetzt habe ich Probleme damit wann ich "htmlspecialchars" verwende und sollte ich auch "trim" verwenden?
PHP-Code:
// Wenn das Formular abgesendet wurde
if (isset($_POST['submit_partnerseiten'])) {
$partner = $_POST['partner'];
$url = trim($_POST['url'], " \/\t\n\r\0\x0B");
$themenbereiche = trim(htmlspecialchars($_POST['themenbereiche']));
$themenbereiche_sparten = trim(htmlspecialchars($_POST['themenbereiche_sparten']));
$bemerkung_partnerurl = trim(htmlspecialchars($_POST['bemerkung_partnerurl']));
if (empty($partner)){ $error_partner = 'Partner muss ausgewählt werden.'; $error = false;}
if (empty($url)){ $error_url = 'Bitte geben Sie eine Domain ein.'; $error = false;
}
else {
// Sicherstellen das nur eine richtige Domain eingegeben wurde keine URL !
if (preg_match("!^(http|https)+(://)+(www\.)?([a-z0-9\.-]{3,})\.[a-z]{2,4}(/)?$!i",$url)) {
} else { $error_url = 'Domain im Format http://www.example.com eingeben.'; $error = false; }
}
if (!isset($error)) {
// Prüfen der Domain auf doppelten Eintrag bei diesem Parnter
$sql = "SELECT partnerID, url FROM partner_seiten WHERE partnerID = '$partner' AND url LIKE '$url'";
$result = mysqli_query($db, $sql) or die ('Fehler bei der Datenbankabfrage.');
if (mysqli_num_rows($result)>0)
{
$error_url = 'Domain bei diesem Partner schon vorhanden.'; $error = false;
}
else { // Domain und PartnerID in die Datenbank eintragen
$sql = sprintf("INSERT INTO partner_seiten (partnerID, url, themenbereiche, themenbereiche_sparten, bemerkung) VALUES ('%d', '%s', '%s', '%s', '%s')",
mysqli_real_escape_string($db, $partner),
mysqli_real_escape_string($db, $url),
mysqli_real_escape_string($db, $themenbereiche),
mysqli_real_escape_string($db, $themenbereiche_sparten),
mysqli_real_escape_string($db, $bemerkung_partnerurl));
$ergebnis_partnerurl = mysqli_query ($db, $sql) or die ('Fehler bei der Datenbankabfrage - Partnerurl einfügen.');
}
}
}
In der Datenbank befindet sich ja dann die codierten html Zeichen? Oder macht das nichts?
Vielleicht könnt Ihr auch noch über meinen Code schauen ob ich da noch Fehler habe oder sich etwas verbessern lässt?
Danke
Moderatorin
Kommentar