Prüfung von url aus bösen code und richtigkeit

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Prüfung von url aus bösen code und richtigkeit

    Hallo,

    Wie sieht eine regex zur überprüfung auf bösen code und richtige syntax aus?

    etwa so?

    #^http://[a-zA-Z0-9\.\?/&=_-]+$#

    es reicht mir eigentlich, wenn die syntax betreffend gecheckt wird, ob die url mit http:// beginnt, aber eine ausgereiftere Prüfung, wäre auch nicht verkehrt.

    Gruß,
    syco23
    Zuletzt geändert von syco23; 30.10.2005, 19:53.
    [COLOR=darkblue].: 1+1=23 :.[/COLOR]

  • #2
    was verstehst Du denn unter bösem code?
    Beantworte nie Threads mit mehr als 15 followups...
    Real programmers confuse Halloween and Christmas because OCT 31 = DEC 25

    Kommentar


    • #3
      z.b. html-Tags oder sql-befehle (die url wird in eine db gespeichert)
      [COLOR=darkblue].: 1+1=23 :.[/COLOR]

      Kommentar


      • #4
        was ist denn daran böse?

        htmlentities sind dir ein begriff?

        Kommentar


        • #5
          Diese Funktion ist mit htmlspecialchars() identisch, ausser dass alle Zeichen, die HTML-Code-Entsprechungen haben, in diese Codes umgewandelt werden.
          klickbar ist die url dann nicht mehr..

          http://www.domain.com/datei.php?par1=wert&par2=wert2
          Zuletzt geändert von syco23; 15.03.2005, 20:00.
          [COLOR=darkblue].: 1+1=23 :.[/COLOR]

          Kommentar


          • #6
            Ob die Eingabe eines Users gefährlich ist oder nicht, entscheidet sich eigentlich erst bei DEINER weiterverarbeitung...
            Ganz und gar nicht gut wäre zB eval ($_GET["eingabe"];
            wie du sicherlich erkennen kannst.
            Prüf also die Variablen die dir gefährlich werden können und behandel sie dementsprechend...

            Ein weiterer Tipp:
            mysql_escape_string => http://ch2.php.net/manual/de/functio...ape-string.php
            PHP Code Schnipsel

            Kommentar


            • #7
              mysql_real_escape_string find ich gut

              trotzdem würde ich in diesem einen scirpt gerne mit einer regex-überprüfung arbeiten.
              [COLOR=darkblue].: 1+1=23 :.[/COLOR]

              Kommentar


              • #8

                regexp valid url

                Kommentar

                Lädt...
                X