[PHP] Strings entschärfen

**TheMiller**

Hallo,

ich programmiere schon etwas länger PHP, habe aber nie so richtig den Sicherheitsaspekt behandelt. Ich bin gerade dabei, String zu entschräfen, damit diese die Datenbank und meine Seite (XSS etc) nicht gefährden.

Dafür behandle ich jeden String folgendermaßen:

markieren

Code:

			$text = strip_tags(addslashes(htmlentities($_REQUEST['text'])));

if(strlen($text) > 15)

{

 die("CSS-HACK");

}

Zahlen werden erst mit intval($_REQUEST['zahl1']) eingelesen und Radio- sowie Checkboxen werden auf ihre tatsächlichen Werte überprüft.

Mir geht es hauptsächlich um die Stringbehandlung. Wenn zu den anderen Methoden was anzumerken ist, lese ich das aber auch gerne!

Dankeschön

Speziell für MySQL als Datenbank gabs da auch direkt

mysql_real_escape_string()
(mit addslashes etc. verhampelt man sich so schnell beim hin- und zurück)

**TheMiller**

Stimmt genau! Das habe ich total vergessen. Aber sonst ok?

**alcaeus**

Kurzum:

Werte casten. Einfach mit (int), (string), (whatever) $value den Wert auf nen Typ boxen.
Bei Strings:
- Zeilenumbrueche auf ein Standardformat bringen:
  
  markieren
  Code:
  
  $value = str_replace(array("\n\r", "\r"), "\n", $value);
- Ggf. stripslashes() ausfuehren:
  
  markieren
  Code:
  
  $value = (get_magic_quotes_gpc()) ? stripslashes($value) : $value;
- String trimmen:
  
  markieren
  Code:
  
  $value = trim($value);
- HTML-Steuerzeichen entschaerfen:
  
  markieren
  Code:
  
  $value = htmlspecialchars($value);

Dann jeden String, der in ne SQL-Abfrage wandert mit mysql_real_escape_string() escapen, und fertig ist dein Schutz gegen Cross-Site-Scripting (XSS) und SQL-Injection

Greetz
alcaeus

**Die Muhkuh**

Oh, so "einfach"? Hätte gedacht, dass man da mehr beachten muss.

**TheMiller**

Mist, und ich habe mich im Quelltext und ein "X" verschrieben. Meine natürlich, wie ich es auch im Text geschrieben habe, XSS *g*

ACHSO: was hat das mit den Zeilenumbrüchen auf sich?

Danke

**TheMiller**

Ich habe mir jetzt daraus eine Funktion gebastelt, die auch die Länge des Strings überprüft (wegen XSS)... ist diese Funktion in Ordnung?

markieren

Code:

			function disarmstring($string, $len = NULL)

{

 $result = str_replace(array("\n\r", "\r"), "\n", $string);

 $result = trim($result);

 $result = htmlspecialchars($result);

 if(strlen($string) > $len)

 {

  return false;

 }

 else

 {

  return $result;

 }

}

Nur das mit den Leerzeichen in ein Format bringen habe ich nicht ganz so verstanden? Warum ist das gefährlich? Was kann passieren? etc...

Danke

Handelt sich warscheinlich nur um nen tippfehler, aber heisst das nicht "\r\n" an Stelle von "\n\r"?

**TheMiller**

Das kann ich dir nicht sagen. Verstehe, wie oben beschrieben, den Sinn nicht, wieso das genormt werden soll.

**DGL-luke**

Weil man dann nur mit Linux-Umbrüchen arbeitet. Und die (afaik von keinem Betriebssystem eingesetzten) \r-Zeichen gleich mit ummodelt.

Damit wird der string einfach konsistent.

Themen-Optionen	Thema durchsuchen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen	Thema durchsuchen: Erweiterte Suche
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

[PHP] Strings entschärfen

[PHP] Strings entschärfen

Re: [PHP] Strings entschärfen

Re: [PHP] Strings entschärfen

Re: [PHP] Strings entschärfen

Re: [PHP] Strings entschärfen

Re: [PHP] Strings entschärfen

Re: [PHP] Strings entschärfen

Re: [PHP] Strings entschärfen

Re: [PHP] Strings entschärfen

Re: [PHP] Strings entschärfen

Forumregeln

CCRDude (Gast) n/a Beiträge	#2 Re: [PHP] Strings entschärfen 21. Mai 2007, 14:37 Speziell für MySQL als Datenbank gabs da auch direkt mysql_real_escape_string() (mit addslashes etc. verhampelt man sich so schnell beim hin- und zurück)
	Zitat

TheMiller Registriert seit: 19. Mai 2003 Ort: Gründau 2.480 Beiträge Delphi XE7 Architect	#3 Re: [PHP] Strings entschärfen 21. Mai 2007, 14:39 Stimmt genau! Das habe ich total vergessen. Aber sonst ok?
	Zitat

Die Muhkuh Registriert seit: 21. Aug 2003 7.332 Beiträge Delphi 2009 Professional	#5 Re: [PHP] Strings entschärfen 21. Mai 2007, 15:40 Oh, so "einfach"? Hätte gedacht, dass man da mehr beachten muss. Manuel Blog reactivated
	Zitat

TheMiller Registriert seit: 19. Mai 2003 Ort: Gründau 2.480 Beiträge Delphi XE7 Architect	#6 Re: [PHP] Strings entschärfen 21. Mai 2007, 16:15 Mist, und ich habe mich im Quelltext und ein "X" verschrieben. Meine natürlich, wie ich es auch im Text geschrieben habe, XSS g ACHSO: was hat das mit den Zeilenumbrüchen auf sich? Danke
	Zitat

Dunedain (Gast) n/a Beiträge	#8 Re: [PHP] Strings entschärfen 21. Mai 2007, 18:10 Handelt sich warscheinlich nur um nen tippfehler, aber heisst das nicht "\r\n" an Stelle von "\n\r"?
	Zitat

TheMiller Registriert seit: 19. Mai 2003 Ort: Gründau 2.480 Beiträge Delphi XE7 Architect	#9 Re: [PHP] Strings entschärfen 21. Mai 2007, 18:23 Das kann ich dir nicht sagen. Verstehe, wie oben beschrieben, den Sinn nicht, wieso das genormt werden soll.
	Zitat