php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #16 (permalink)  
Alt 10-12-2007, 16:55
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Zitat:
Na Klasse, und alle meine mühselig eingegebenen HTML-Tags sind futsch
Nein sind sie nicht!!!
Siehe meine Anmerkung zum zweiten Parameter!

1. Damit lassen sich einige XSS Attacken verhindern!
2. Was sollen HTML-Tags in Usernamen
3. Was sollen HTML-Tags in Emailadressen
4. Was sollen HTML-Tags in Get Parametern
5. Was sollen HTML-Tags in $_COOKIE
6. Was sollen HTML-Tags in PHP_SELF
usw. Die wenigen Fälle, wo HTML vom Browser in die Anwendung fließen darf, sind als Sonderfall einzustufen.

Also die Intelligenz, dass man ein Auto, welches man noch fahren möchte nicht vorher durch eine Schrottpresse schiebt, die setze ich hier doch mal vorraus!


Zitat:
An Benutzereingaben herum zu fuschen ist mehr als daneben, wenn es nicht ausdrücklich so gewollt ist!
Quark!!
Andersrum wird da ein Schuh draus. Alles, wie es nur geht prüfen und von Müll befreien! Wie bei einer Firewall, Default: "deny all" und die Löchlein ganz gezielt bohren. Jede Möglichkeit, einem Script Input zu liefern, ist als brandgefährlich einzustufen
__________________
Wir werden alle sterben
Mit Zitat antworten
  #17 (permalink)  
Alt 10-12-2007, 19:40
3DMax
 PHP Senior
Links : Onlinestatus : 3DMax ist offline
Registriert seit: Jan 2004
Beiträge: 1.916
3DMax ist zur Zeit noch ein unbeschriebenes Blatt
Standard

nur weil du jetzt auf ständig auf HTML-tags herumreitest. strip_tags entfernt auch gnadenlos alles, was in spitzen klammern steht. nur weil das beispiel von dir kam, auch eine e-mail-adresse kann in spitzen klammern stehen.
Mit Zitat antworten
  #18 (permalink)  
Alt 10-12-2007, 20:26
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Ist es denn in allen Fällen unbedingt notwendig, die spitzen Klammern dort zuzulassen?
Ansonsten gibts ja auch noch für diesen Sonderfall: PEAR\Mail\RFC822.php und viel andere!
Weiterhin gilt uneingeschränkt: Was sollen HTML-Tags in Emailadressen
__________________
Wir werden alle sterben
Mit Zitat antworten
  #19 (permalink)  
Alt 10-12-2007, 20:57
PHP-Desaster
 PHP Expert
Links : Onlinestatus : PHP-Desaster ist offline
Registriert seit: Mar 2006
Beiträge: 3.105
PHP-Desaster befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Original geschrieben von 3DMax
nur weil du jetzt auf ständig auf HTML-tags herumreitest. strip_tags entfernt auch gnadenlos alles, was in spitzen klammern steht. nur weil das beispiel von dir kam, auch eine e-mail-adresse kann in spitzen klammern stehen.
Sehe ich genau so! Anstatt überall einfach deine Tags rauszulöschen, solltest du lieber überprüfen, ob die Übergabe dem gewünschten entspricht (filter, ctype, ...). Einfach die Tags rausschmeißen verwirrt die Anwender und das sollte immerhin der Großteil der Seitenbesucher sein!
Mit Zitat antworten
  #20 (permalink)  
Alt 10-12-2007, 21:22
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Ob man prüft und dann die Aktion ablehnt, oder bereinigte Daten zuläßt, kann man nur vom konkreten Einzelfall abhängig machen.

Zitat:
Einfach die Tags rausschmeißen verwirrt die Anwender und das sollte immerhin der Großteil der Seitenbesucher sein!
Ich glaube nicht, dass die meisten versuchen überall HTML Tags reinzuklappern. Die meisten dürften sich damit gar nicht auskennen. Und einen Angreifer, den darf man ruhig verwirren. Obwohl, ich glaube nicht, dass sich ein solcher so schnell verwirren läßt
__________________
Wir werden alle sterben
Mit Zitat antworten
  #21 (permalink)  
Alt 10-12-2007, 22:35
PHP-Desaster
 PHP Expert
Links : Onlinestatus : PHP-Desaster ist offline
Registriert seit: Mar 2006
Beiträge: 3.105
PHP-Desaster befindet sich auf einem aufstrebenden Ast
Standard

Mach wie du meinst! Wirst du schon irgendwann verstehen!
Mit Zitat antworten
  #22 (permalink)  
Alt 11-12-2007, 10:55
3DMax
 PHP Senior
Links : Onlinestatus : 3DMax ist offline
Registriert seit: Jan 2004
Beiträge: 1.916
3DMax ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von combie
Ich glaube nicht, dass die meisten versuchen überall HTML Tags reinzuklappern.
man, es geht doch garnicht ausschließlich um html!
echo strip_tags('4<9 und 3>2');
Mit Zitat antworten
  #23 (permalink)  
Alt 11-12-2007, 11:48
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Man man man, es geht doch gar nicht ausschließlich um html!!!!
Aber, bleiben wir nochmal kurz dabei...

'4<9 und 3>2' ist ganz sicher kein Vorname!
PHP-Code:
if($_POST['vorname'] !== strip_tags($_POST['vorname'])) XSS_error('blabla');
if(
$_SERVER['PHP_SELF'] !== strip_tags($_SERVER['PHP_SELF'])) XSS_error('blabla'); 
Es dreht sich doch nur darum: Alles was vom Browser kommt möglichst scharf prüfen!
Angriffe erkennen, loggen und abwehren.

Wenn ihr meint auf strip_tags verzichten zu können, dann macht das! Springt in eure Grube! Ihr WOLLT mich falsch verstehen.. KA warum.. Ab jetzt halte ich in diesem Thread die Schnauze. Hab keine Lust mich über solche Boniertheit zu ärgern. Ich wünsche euch viel Erfolg auf euren Wegen.

6 setzen!
__________________
Wir werden alle sterben

Geändert von combie (11-12-2007 um 11:52 Uhr)
Mit Zitat antworten
  #24 (permalink)  
Alt 11-12-2007, 11:58
PHP-Desaster
 PHP Expert
Links : Onlinestatus : PHP-Desaster ist offline
Registriert seit: Mar 2006
Beiträge: 3.105
PHP-Desaster befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
'4<9 und 3>2' ist ganz sicher kein Vorname!
Aber vielleicht ein Username oder einfach nur Text! String bei speichern und ausgeben escapen, aber niemals irgendwelche Zeichen weg ersetzen!
Zitat:
Wenn ihr meint auf strip_tags verzichten zu können, dann macht das! Springt in eure Grube! Ihr WOLLT mich falsch verstehen.. KA warum.. Ab jetzt halte ich in diesem Thread die Schnauze. Hab keine Lust mich über solche Boniertheit zu ärgern. Ich wünsche euch viel Erfolg auf euren Wegen.
Wie auch immer Mach deinen Mist, wir machen unseren!
Mit Zitat antworten
  #25 (permalink)  
Alt 11-12-2007, 12:05
tontechniker
 PHP Senior
Links : Onlinestatus : tontechniker ist offline
Registriert seit: Jul 2005
Beiträge: 1.972
tontechniker ist zur Zeit noch ein unbeschriebenes Blatt
Standard

<ombi3 oder <Combie> sind in gewissen Kreisen auch Usernames ... entweder die Zeichen sind erlaubt (dann einfach escapen => &lt; / &gt oder sie sind wie dann wahrscheinlich einige andere Zeichen auch nicht erlaubt - dann wird dem User angezeigt das er Zeichen verwendet hat die er nicht verwenden darf und die doch bitte entfernen soll.
__________________
Die Regeln | rtfm | register_globals | strings | SQL-Injections | []
Mit Zitat antworten
  #26 (permalink)  
Alt 11-12-2007, 12:15
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Manno.. einer geht noch...

Welche Blockaden plagen dich.....????
Wenn du < in Benutzernamen zulassen willst, dann gut, lass es zu! Aber üblich ist es nicht! Und wenn du schon unbedingt XSS Tags in deiner DB haben willst, dann mußst du bei der Ausgabe zum Browser ganz ganz ganz pingelig arbeiten. Eine Unachsamkeit und diese Tags verbreiten sich bei Google oder erscheinen auf der Website. Selbst wenn sie nicht sofort zur Ausführung kommen: Sie sind dann SICHTBAR!! Du hast sie ja schön mit htmlentities() bearbeitet, damit nix passieren kann(sonst wärst du ja voll dull, und dass glaube ich nicht). Was würdest du denken, wenn du auf eine "Seifenhersteller" Seite kommst, und dort den Code für das nachladen irgendwelcher chinesischen JS Fragmene siehst.

Zitat:
dann wird dem User angezeigt das er Zeichen verwendet hat die er nicht verwenden darf und die doch bitte entfernen soll.
Und dagegen sage ich doch überhaupt nix!!! Aber um soweit zu kommen, muß man doch erst mal prüfen...
Und dazu ist unter vielem anderen strip_tags() geeignet.
z.B. ebay.. dort kann man HTML eingeben!
Die werden mit Sicherheit strip_tags()(ja gut, die nutzen wohl kein PHP) oder was vergleichbares(z.B. einen Parser) benutzen...

Ihr könnt darauf verzichten, gut! Macht das!
__________________
Wir werden alle sterben

Geändert von combie (11-12-2007 um 12:30 Uhr)
Mit Zitat antworten
  #27 (permalink)  
Alt 11-12-2007, 12:35
ministry
 PHP Junior
Links : Onlinestatus : ministry ist offline
Registriert seit: Jun 2006
Ort: KI / KA
Beiträge: 965
ministry ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Was würdest du denken, wenn du auf eine "Seifenhersteller" Seite kommst, und dort den Code für das nachladen irgendwelcher chinesischen JS Fragmene siehst.
Ähm, das setzt ja voraus, dass ich auf der Seifenherstellerseite überhaupt Benutzereingaben sehe. Vielleicht sehe ich das ja im Gästebuch des Seifenherstellers, und dann würde ich denken "der Chinese hats versucht, wird aber nix, weil ja alles brav escaped wird".

Das Escapen ist nicht pingeliger als das Filtern vor dem Abspeichern. Genau derselbe Aufwand. Vergessen sollte man natürlich nichts.

Wo ist das Problem?

Wieso überhaupt grade Seifenhersteller?
__________________
ich glaube
Mit Zitat antworten
  #28 (permalink)  
Alt 11-12-2007, 12:42
PHP-Desaster
 PHP Expert
Links : Onlinestatus : PHP-Desaster ist offline
Registriert seit: Mar 2006
Beiträge: 3.105
PHP-Desaster befindet sich auf einem aufstrebenden Ast
Standard

Wenn du eine vernünftige Datenbankklasse verwendest, ist das Escapen vor dem Speichern sogar ein Aufwand von 0! Lediglich bei der Ausgabe ein HTMLentities vorweg und Ruhe ist!
strip_tags ist dann sinnvoll, wenn du einen HTML-Text auf seinen Inhalt beschränken willst, beispielsweise in einer Übersicht in einem CMS, wo HTML-Inhalte eingepflegt werden!
Zitat:
Wenn du < in Benutzernamen zulassen willst, dann gut, lass es zu! Aber üblich ist es nicht!
Das werden aber nicht die einzigen Zeichen sein, die du nicht erlauben wirst. Da du dann eh eine ausgiebigere Prüfung durchführen musst, kannst du direkt auf strip_tags verzichten!
Mit Zitat antworten
  #29 (permalink)  
Alt 11-12-2007, 13:16
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Zitat:
Das Escapen ist nicht pingeliger als das Filtern vor dem Abspeichern. Genau derselbe Aufwand.
Zitat:
Wenn du eine vernünftige Datenbankklasse verwendest, ist das Escapen vor dem Speichern sogar ein Aufwand von 0! Lediglich bei der Ausgabe ein HTMLentities vorweg und Ruhe ist!
Ganz klar ein übler Fehlschluß!!
Wenn du erstmal Schadcode in der DB(oder wo auch immer) hast, bist du schon einen gefährlichen Schritt zuweit!! Höchstwahrscheinlich sogar einer von strafrechtlicher Relevanz, wenn es hart auf hart kommt.
Ja ich habe Schadcode auf meinem Server!
Ja ich verbreite Schadcode!
Aber es kann nix passieren, weil: ??????
Da bin ich mal gespannt, wie du das dem Richter verkaufen willst....


Zitat:
Da du dann eh eine ausgiebigere Prüfung durchführen musst, kannst du direkt auf strip_tags verzichten!
Habe ich irgendwo das Gegenteil behauptet?
Und selbst wenn es sich bei meinem ersten Posting etwas so anhört...

strip_tags() ist eine der vielen Möglichkeiten Benutzereingaben zu prüfen bzw. zu filtern..
Ist es das Allheilmittel? Wohl nein!
Sollte man es in Betracht ziehen? JA!

Und darum darf es in einem Thread, wie "Ausschließen von Zeichen", in dem es doch irgendwie um Sicherheitsaspekte geht, durchaus erwähnt werden.

Ich kann das: strip_tags() ist böse nicht akzeptieren!
__________________
Wir werden alle sterben

Geändert von combie (11-12-2007 um 13:27 Uhr)
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

Die RIGID-FLEX-Technologie
Die RIGID-FLEX-TechnologieDie sogenannte "Flexible Elektronik" , oftmals auch als "Flexible Schaltungen" bezeichnet, ist eine zeitgemäße Technologie zum Montieren von elektronischen Schaltungen.

06.12.2018 | Berni

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni


 

Aktuelle PHP Scripte

HeidiSQL - kostenloses MySQL front-end Editor für Windows ansehen HeidiSQL - kostenloses MySQL front-end Editor für Windows

HeidiSQL - ist ein Windows-Editor für die bekannt open Source Datenbank mySQL

10.12.2018 Berni | Kategorie: MYSQL/ Management
piwik Open-Source Webanalyse-Software ansehen piwik Open-Source Webanalyse-Software

piwik ist eine gute Alternative zu Google Analytics. Viele Features und ein modernes Erscheinungsbild mit aussagefähigen Statistiken in Echtzeit

10.12.2018 phpler | Kategorie: PHP/ Besucherzaehler
jQuery Mobile ansehen jQuery Mobile

Touch-Optimized Web Framework für Smartphones & Tablets

09.12.2018 phpler | Kategorie: AJAX/ Framework
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 17:30 Uhr.