Hallo,

Ich möchte gerne eine Kommentarfunktion auf einer Seite Implementieren. Das Kommentar wird dann in einer MySQL Tabelle gespeichert.

Jetzt überlege ich, welche Zeichen ich "maskieren" sollte um keine Sicherheitslücke zu bieten.

An sich müsste es doch reichen die < und > auszutauschen oder?

htmlspecialchars, und gut.

Original geschrieben von Laire
[B]Hallo,

Ich möchte gerne eine Kommentarfunktion auf einer Seite Implementieren. Das Kommentar wird dann in einer MySQL Tabelle gespeichert.

Jetzt überlege ich, welche Zeichen ich "maskieren" sollte um keine Sicherheitslücke zu bieten.

Gar keine -- benutze die datenbankspezifische "Escape"-Funktion. In deinem Fall höchstwahrscheinlich mysql_real_escape_string() (http://php.net/manual/en/function.mysql-real-escape-string.php). Besser ist natürlich das Verwenden eines MySQL-Treibers, der parametrisierte Queries unterstützt und dir das "Escapen" abnimmt.

An sich müsste es doch reichen die < und > auszutauschen oder?
Um diese Zeichen musst du dir erst Gedanken machen, wenn du die Inhalte deiner Datensätze an den Browser schickst. Zusätzlich zu '<' und '>' solltest du dann mindestens noch '&' maskieren, denn das wird benötigt, um '<' und '>' in '&lt;' und '&gt;' umzuwandeln. Die "Quote"-Zeichen '"' und ''' zu maskieren, ist auch keine schlechte Idee. Das alles kann das schon erwähnte htmlspecialchars() (http://php.net/manual/en/function.htmlspecialchars.php).

Wichtig: ALLE auszugebenden Texte[1] müssen entsprechend maskiert werden (und nicht nur der Kommentartext, den du aus der <texarea> geklaubt hast). Ermöglichst du bspw. deinen Kommentatoren einen "Homepage-Link" (oder sonst irgendeine(n) URL) anzugeben, dann musst du auch diese vor der Ausgabe mit htmlspecialchars() behandeln:


// ...
echo 'Homepage: ',
echo '<a href="', htmlspecialchars($url), '">', htmspecialchars($url), '</a>';
// ...


Und wo wir gerade bei Links sind: <a href="javascript: ..."> ist sicher auch nichts, was du dir von Wildfremden auf deine Web-Seiten schreiben lassen willst. ;)
Hier hilft dir htmlspecialchars() nicht weiter, da musst du selbst ran und unzulässige Eingaben ausfiltern.

--
[1] Wenn sie nicht gerade selbst HTML darstellen sollen ...

Hier hilft dir htmlspecialchars() nicht weiter, da musst du selbst ran und unzulässige Eingaben ausfiltern.

<a href="java script: ...">



Hat das was mit Cross-Site-Scripting zu tun?

Wie könnte man das filtern ???

für so was gibt es scripte, wie zum beispiel safehtml (http://drupal.org/project/safehtml). damit kann man mögliche xss-attacken abwehren.

peter

Original geschrieben von rossixx
...

Hier hilft dir htmlspecialchars() nicht weiter, da musst du selbst ran und unzulässige Eingaben ausfiltern.

<a href="javascript: ...">


Interessant: Dass hier "java script" statt des von mir eingegebenen "javascript" steht, sagt mir, dass diese Boardsoftware auf krude Art versucht, genau dieses Problem zu entschärfen. ;)

Hat das was mit Cross-Site-Scripting zu tun?
Möglich. Aber ich würde hier eher von Code-Injection sprechen, weil der Script-Code ja direkt von deiner Site aus ausgeführt wird. Cross-Site-Scripting steht für Scripts, die von fremden Servern im Kontext deiner Site ausgeführt werden können.

Wie könnte man das filtern ???
Indem du nur dir genehme Daten durchlässt und alle anderen abweist. Für den speziellen Fall:


// User-Eingaben prüfen
// für "Homepage-Link"
if (!preg_match('/\Ahttp:\/\//', $input_url))) {
// Fehlermeldung und Formular nochmal neu anzeigen
// ...
}

Es kann auch nützlich sein, hier zu prüfen, ob $input_url ueberhaupt eine gültige URL darstellt. PHP > 5.2 hat für sowas die Filter-Erweiterung (http://de2.php.net/manual/en/book.filter.php).


//...
// Ausgabe
echo '<a href="', htmlspecialchars($input_url), '">', htmlspecialchars($input_url), '</a>';

also ich benutzer einfach immer:

mysql_real_escape_string(strip_tags($variabel))

reicht das nicht?

Warum strip_tags? Ich will doch HTML in meinem CMS verwenden können...
Eingabe: escape-Methode der Datenbank verwenden oder einfach PDO mit PreparedStatement.
Ausgabe: htmlspecialchars