Einzelnen Beitrag anzeigen
  #17 (permalink)  
Alt 11-05-2006, 01:52
muh (newbie)
 Junior Member
Links : Onlinestatus : muh (newbie) ist offline
Registriert seit: May 2006
Beiträge: 185
muh (newbie) ist zur Zeit noch ein unbeschriebenes Blatt
Standard

ich würde magic_quotes_gpc=off auf jeden Fall setzen.

Die User-Daten gehen ja in verschiedene Richtungen: SQL, HTML-Ausgabe, evtl. als URL. Man muss sie am Punkt der Verwendung gegen injects schützen, aber im php als originaler Text, ohne zusätzliche \\ vor gewissen (welche?) Zeichen haben.
als SQL Daten: mysql_real_escape
als HTML Daten: htmlspecialchars
als URL Bestandteil: urlencode
als Javascript String: addslashes
als SQL Zahlen für OFFSET und LIMIT: intval(..)
als Email Daten: vielfältiger als alles hier angegebene.

Zusätzlich kann man anfangen auf injection zu prüfen, um Angriffe zu erkennen und zu loggen.

Erg$nzung: wenn man Daten zB mit mysql_real_escape ins SQL einspeist, muss man sie beim Query nicht ent-escapen. Dasselbe gilt für die anderen Escapierungen. Diese werden von php bzw. mysql rückgängig gemacht. Nur email Codierungen sind anders.

ergänzen kann man noch
als PHP Literals: je nachdem ob in '...' oder "...." (von Hand).

Geändert von muh (newbie) (11-05-2006 um 02:17 Uhr)
Mit Zitat antworten