Eingaben validieren

[sir.hacks.alot]

Hallo,

ich habe bisher noch nie in auf einer öffentlich angängigen Webseite mit Datenbanken gearbeitet. Ich habe nun ein kleines Projekt für eine Umfrage vor mir.
Dort wird ein Bild gezeigt und man hat mehrere Textfelder um Beschreibungen für das Bild einzutragen. Nun habe ich mehrfach gelesen, daß man Nutzereingaben nicht einfach ungefiltert an die Datenbank weitergeben soll.
Was sind die Gefahren wenn ich es dennoch tue und wie schütze ich mich vor den etwaigen Konsequenzen. Die Eingaben mit denen ich es hier zu tun habe sind beliebige Worte zwischen 0 und 30 Zeichen.
Als Programmiersprache verwende ich PHP.

besten Dank im Vorraus.

 

[oneOeight]

http://www.php.net/manual/de/function.mysql-escape-string.php

 

[tobiasb]

Gefahren die durch mangelhafte Filterung von Benutzereingaben entstehen können:

• SQL-Injections
• Cross-Site Scripting

In PHP gibt es Funktionen die sich um die Eingabe kümmern.
Zum Beispiel das ecape_string(), welches oneOeight erwähnte ^_^

 

[Atarimaster]

http://www.php.net/manual/de/function.mysql-escape-string.php

Öhm… ja, allerdings:
Hinweis: Diese Funktion ist seit PHP 4.3.0 veraltet. Benutzen Sie diese Funktion nicht und verwenden Sie stattdessen mysql_real_escape_string().

 

[Atarimaster]

wie schütze ich mich vor den etwaigen Konsequenzen. Die Eingaben mit denen ich es hier zu tun habe sind beliebige Worte zwischen 0 und 30 Zeichen.

Zusätzlich zur genannten Funktion:
– Die Eingabefelder im HTML-Code mittels maxlength="30" auf diese Länge begrenzen.
– Serverseitig mit strlen() überprüfen, ob die Länge auch wirklich nicht überschritten wird. Wenn doch, ist die Wahrscheinlichkeit sehr hoch, dass versucht wird, an dem Formular »vorbeizuposten«. In dem Fall würde ich dann auch nicht versuchen, dass zu »reparieren« (indem man z.B. eine Fehlermeldung ausgibt mit der Aufforderung, eine korrekte Eingabe zu tätigen), sondern rigoros abbrechen.