Registrieren  •  Login 
  
 
im Forum


 FAQ   Mitgliederliste   Benutzergruppen   Teamseite   Suchen 

[Anleitung] Sichere HTML Ausgaben mit PHP

 
Neues Thema eröffnen   Neue Antwort erstellen
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
killerbees19
Administrator & Rennleitung
Administrator & Rennleitung



OC-Nickname: KB19
Südafrika Team South Africa

Anmeldedatum: 09.05.2006
Geschlecht: Männlich
Alter: 29 Jahre
Beiträge: 13951
Wohnort: Wien

BeitragVerfasst am: 30.05.2008, 19:54    Titel: [Anleitung] Sichere HTML Ausgaben mit PHP

Gerade bei "normalen HTML" Ausgaben mit PHP passieren immer wieder die gleichen Fehler: Ausgaben werden nicht mit htmlspecialchars() oder htmlentities() behandelt, die zweite Funktion ist im deutschsprachigen Raum sinnvoller, da sie auch deutsche Umlaute umwandelt. Gerade bei der Ausgabe von Fehlermeldungen kommt das sehr oft vor, aber auch sonst in normalen Scripten. Im folgenden Code zeige ich ein sehr kurzes aber extrem unsicheres Script.

PHP-Code:
1
2
3
4
5
<?php

echo 'Hallo '.$_POST['name'].'!';

?>

Hier wird die Variable einfach unbehandelt ausgegeben. Jemand könnte in $_POST['name'] also auch ein JavaScript eintragen, dass der 0815-User nicht sieht, mit dem es jedoch möglich wäre z.B. Session bezogene Daten zu stehlen oder ähnliches. Die Liste ist lange, in diesem Zusammenhang taucht jedenfalls immer wieder der Begriff XSS auf. Deshalb muss man alle Ausgaben die noch nicht mit so einer Funktion behandelt wurden vorher durch eine der oben genannten Funktionen schicken. Im folgenden Beispiel ist das Script also abgesichert.

PHP-Code:
1
2
3
4
5
<?php

echo 'Hallo '.htmlentities($_POST['name']).'!';

?>


Eine Grundregel sollte man auch hier immer beachten: Daten die vom Nutzer kommen, sind immer als schadhaft einzustufen, bis sie nicht validiert wurden. Ein sehr kurzer Tipp, weitere Informationen zur richtigen Validierung von Daten werde ich dann in Kürze noch in einem neuen Beitrag schreiben.

Bei Fragen oder weiteren Tipps zu diesem Thema, schreibt einfach einen Beitrag in dieses Forum Wink


MfG Christian
_________________
Nach oben
Benutzer-Profile anzeigen killerbees19 ist derzeit offline Spielerprofile bei SC:Special Bewerben anzeigen Private Nachricht senden Website dieses Benutzers besuchen
Beiträge der letzten Zeit anzeigen:   
Neues Thema eröffnen   Neue Antwort erstellen Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht teilnehmen.
Du kannst Dateien in diesem Forum nicht hochladen.
Du kannst Dateien in diesem Forum nicht herunterladen.

 

Alle Zeiten sind GMT + 2 Stunden (Sommerzeit)
Aktuelles Datum und Uhrzeit: 09.04.2020, 19:54
Nach oben
Valid HTML 4.01 Transitional
Valid CSS!
Software based on work from the phpBB-Group  •  Deutsche Übersetzung von phpBB.de

netcup - Internetdienstleistungen
 
 
[ happytec.at | forum.happytec.at | blog.happytec.at | esports.happytec.at | event.happytec.at ]