Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Hallo!

Ich befasse mich gerade ein wenig mit der Sicherheit von PHP und will eine Eingabe von einem Formular wieder ausgeben über ein Echo.

Jeder weiss ja aber, dass es sone Sachen wie Cross Site Scripting gibt. Dieses möchte ich jetzt natürlich erfolgreich verhindern. Hab's auch schon gemacht...

Das Formular:

<form action="" method="POST">

<input name="Text" type="text">

<br>

<input type="submit" value="Absenden">

</form>
PHP Ausgabe:
<?php

if(isset($_POST['Text'])){

$ausgabe = variablecheck($_POST['Text']);

echo "Hallo " . $ausgabe . "! Wie geht es dir?";

}

?>
Funktion variablecheck:
<?php 

function variablecheck($text)

{

$text = htmlentities($text);

return $text; 

}

?>

Jetzt frage ich mich nur ob diese Art der Absicherung schon reicht oder muss ich noch mehr absichern um Cross Site ... und andere schädlichen Eingaben zu verhindern?

Gruß

Hahne

Geschrieben

Jetzt frage ich mich nur ob diese Art der Absicherung schon reicht oder muss ich noch mehr absichern um Cross Site ... und andere schädlichen Eingaben zu verhindern?

Es kommt immer darauf an, was du mit den Eingaben machst. Für eine reine Ausgabe auf der HTML Seite ist diese Methode geeignet, da damit kein fremder Code (z.B. Javascript) eingeschleust werden kann.

Allerdings musst du immer beachten was du damit machst. Für Passwörter ist das u.U. nicht unbedingt geeignet ;)

Generell sind aber alle Daten die von außen kommen böse. Es bezieht sich also nicht nur auf Formularwerte. Auch Parameter der URL z.B. können vergiftet worden sein und sollten nicht einfach ungeprüft von dir verwendet werden.

Zu XSS findest du hier noch was (auch weiterführende Links):

Cross-Site Scripting â€â€œ Wikipedia

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...