Sicherheit, Filtern von Benutzereingaben nach Sonderzeichen

Einklappen
X
Einklappen
 
  • Seite von 2
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 2 template Weiter
  • #16
    Zitat von Ghostrider28 Beitrag anzeigen
    Bei mir wäre aber der Kontext, dass es auf meiner Webseite keinen Bereich gibt, in denen Sonderzeichen, auch wenn es nur ein " ist, eingegeben werden sollen.
    Dann vermischst du hier aber zwei vollkommen verschiedene Dinge.

    Dass du nur bestimmte Zeichen erlauben willst, ist eine Anforderung deiner Applikation an die Daten.
    Dass bestimmte Zeichen gesondert behandelt werden müssen, wenn sie als Daten in einer MySQL-Query auftauchen, ist eine Anforderung des Parsers der Datenbank.

    spricht doch nichts dagegen, wenn ich einfach alle Sonderzeichen aussortiere, oder?
    Doch - es ist eine unsaubere Bastellösung.

    Vielleicht vergisst/übersiehst du ein Zeichen, das je nach Kontext für die Datenbank-Schnittstelle „gefährlich“ werden könnte.
    Oder vielleicht kommt irgendwann mal ein neues Zeichen zu denen hinzu, die an der Stelle Sonderbedeutung haben. Wenn das passiert, wird die Funktion mysql_real_escape_string sicherlich automatisch entsprechend angepasst - wohingegen du es vielleicht gar nicht mitkriegst, dass sich etwas geändert hat, weil du die Entwicklung nicht aktiv und ständig verfolgst.

    Dein Vorhaben mag momentan den Anschein haben, zu „funktionieren“.
    Es wäre aber aus den genannten Gründen naiv, grob fahrlässig und unprofessionell.
    I don't believe in rebirth. Actually, I never did in my whole lives.

    Kommentar

    Vorherige 1 2 template Weiter
    Lädt...
    X