Tweet
herrgott
es ist MEINE sache, ob ich dieses verreckte strip tags verwende, oder nicht
und jetzt ZURÜCK ZUM THEMA
es ist MEINE sache, ob ich dieses verreckte strip tags verwende, oder nicht
und jetzt ZURÜCK ZUM THEMA
-
Dass ein simples is_numeric() nicht ausreicht hast du ja bereits in deinem anderen Thread erfahren.und jetzt ZURÜCK ZUM THEMA
Die Variabeln nur mit mysql_rel_escape_string() zu entschärfen bringt auch nix, denn du hast bestimmt keine ID -1 in der DB.
Ganz allgemein: Alle Usereingaben müssen geprüft, geprüft und nochmal geprüft werden. Dazu gehört auch festzustellen, ob die Vars denn überhaupt einen plausiblen Wert haben.
Gruss
tobiGutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten
[color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)Kommentar
-
OffTopic: Hab nur Cola gesoffen... die Kopfschmerzen kommen von nem Medikament (und von dem Thread hier und dem anderen Thread da...)Original geschrieben von jahlives
Dann solltest du am Vorabend eben weniger Saufen
addslashes()+htmlspecialchars()
reicht aus.
Alles andere ist Bonus für Fehlerabfrage, oder Zerstörung der Usability.
Und bei weiteren Fragen benutz gefälligst Google - du bist in 12 Jahren PHP mit SICHERHEIT nicht der erste, der sich diesen Problemen stellt!
Ein netter Guide zum übersichtlichen Schreiben von PHP/MySQL-Code!
bei Klammersetzung bevorzuge ich jedoch die JavaCoding-Standards
Wie man Fragen richtig stelltKommentar
-
Jaa
Danke!
und weil ich hier von manchen nur scheisse angemacht werde, hol ich mir die restlichen infos aus "Sicherheit mit PHP/mySQL" (buch)
danke!
thread kann geschlossen werden
Kommentar
-
OffTopic: Komisch, wurde ich in meinen Anfangszeiten nicht - sonst wäre ich wohl kaum noch hier...Original geschrieben von Seggl-hoch-drei
und weil ich hier von manchen nur scheisse angemacht werde
Ein netter Guide zum übersichtlichen Schreiben von PHP/MySQL-Code!
bei Klammersetzung bevorzuge ich jedoch die JavaCoding-Standards
Wie man Fragen richtig stelltKommentar
-
als ob du noch nie ne frage gestellt hättestOriginal geschrieben von ghostgambler
OffTopic:
Hab nur Cola gesoffen... die Kopfschmerzen kommen von nem Medikament (und von dem Thread hier und dem anderen Thread da...)
addslashes()+htmlspecialchars()
reicht aus.
Alles andere ist Bonus für Fehlerabfrage, oder Zerstörung der Usability.
Und bei weiteren Fragen benutz gefälligst Google - du bist in 12 Jahren PHP mit SICHERHEIT nicht der erste, der sich diesen Problemen stellt!
Ja, auch ich habe google benutzt, aber leider nix gefundenKommentar
-
mit "manchen" meinte ich zufälligerweise dich :-DOriginal geschrieben von ghostgambler
OffTopic:
Komisch, wurde ich in meinen Anfangszeiten nicht - sonst wäre ich wohl kaum noch hier...Kommentar
-
Seggl, dass du dich so ziemlich selbst ins aus geschossen hast, hast du aber schon bemerkt?
Viel Spaß mit deinem Buch.
OffTopic:
Fürs bett hab ich noch nie ein Buch gebraucht...
@jahlives: Du hackst die ganze Zeit auf der -1 rum. Aber mal ehrlich, die mühe mit abs() etc. kann man sich getrost sparen. Du hast schließlich auch keine Sicherheit ob es ID 523 gibt. Die könnte ja auch schon längst gelöscht sein. Daher würde eine Abfrage WHERE ID = -1 auch nur einen "nicht vorhandenen Datensatz"-Fehler liefern.Kommentar
-
Kann ich mit lebenOriginal geschrieben von Seggl-hoch-drei
mit "manchen" meinte ich zufälligerweise dich :-D
Ein netter Guide zum übersichtlichen Schreiben von PHP/MySQL-Code!
bei Klammersetzung bevorzuge ich jedoch die JavaCoding-Standards
Wie man Fragen richtig stelltKommentar
-
OffTopic:
@ghost
mein rat: sauf doch einfach einen - dann wird das lesen solcher thread ggf einfach amüsanter
und zum thema sicherheit.
lies dein buch, und dann empfehle ich dir einen lokalen server ohne zugang zu diesem internetz - ist für alle beteiligten das sicherste
**********
arkos
**********Kommentar
-
clown gefrühstückt?Original geschrieben von arkos
OffTopic:
@ghost
mein rat: sauf doch einfach einen - dann wird das lesen solcher thread ggf einfach amüsanter
und zum thema sicherheit.
lies dein buch, und dann empfehle ich dir einen lokalen server ohne zugang zu diesem internetz - ist für alle beteiligten das sicherste
Kommentar
-
ja, denn anders lässt sich so manches nicht ertragen
**********
arkos
**********Kommentar
-
-
und *close*, ich freue mich auf die nächste sachliche diskussion...Kommentar
Moderator
Kommentar