Coder Board Community

Es gibt da zahlreiche Informationen im Netz und darunter natürlich auch massig Blödsinn. Da ich aber auf keinen Fall möchte, dass mal irgendwer schafft irgendwelchen Blödsinn auf meinem Server zu veranstalten versuch ich grade irgend einen Sicherheitsmechanismus zu erarbeiten welcher Daten aus Formularen sicher in die Datenbank packt und auch wieder raus ohne das auf diesem Weg was schief gehn kann. Hier mal ein Beispiel.

Bei einem Gästebuch gibts die Formularfelder Name, Emailadresse, Webadresse und eine Textarea für den Gästebucheintrag. Das Formular wird an die PHP Datei guestbook.php geschickt und dort verarbeitet. Die reinen Formularfelder würde ich erst mal mit $feld = $_REQUEST['feld']; in Empfang nehmen. Danach dann $feld = striptags($feld); und $feld = addslashes($feld);. Bei der Textarea genau so und diese dann mit den Formularfeldern in die Datenbank. Bei der Ausgabe in einem HTML Gerüst kann man ja mit nl2br die Textarea wieder korrekt ausgeben lassen und natürlich vorher mit stripslashes($feld); die Escapes entfernen. Nur wie sieht es hier aus mit Ausbrüchen aus der Textarea? Oder sonstigen Vorgehensweisen um z.B. JS Code auszuführen oder sonst irgend einen Mist? Genügt das was ich da mache wirklich oder gibt es noch weitere Dinge die man tun sollte? Sollte ich z.B. jeden Feldinhalt oder Textareainhalt auf Dinge wie "JavaScript" oder sonstige Wortlaute prüfen und diese noch mal gesondert behandeln? Oder wie einige im Netz meinen den Inhalt aller Felder und Areas grundsätzlich in Hex umwandeln? Man kann natürlich alles übertreiben aber ich möchte auf keinen Fall zu wenig machen.

Wenn jemand Lust und Zeit hat kann ich auch gerne mal einen Teil aus dem betreffenden Projekt als Quellcode zeigen. Möchte ich nur im Moment hier nicht offen falls ich ein Sicherheitsloch hab und dann der nächst beste gleich zur Tat schreitet und mir das ganze Ding auf links dreht.

Du hast vollkommen recht. Die Variablen welche man mit $_REQUEST in Empfang nimmt können manipuliert sein. Allerdings nicht dadurch, dass jemand den Datenstrom zwischen Formular und PHP Skript unterbricht und da was macht. Jemand kann direkt im Formular schon entsprechende Codes einfügen und so div. Dinge erreichen. Wenn man also in einem Formularfeld oder Textarea gewissen Code einfügt wird dieser unweigerlich zum Server übertragen. Erst hier kann man den Inhalt der einzelnen Eingaben prüfen und ggf. verhindern, dass jemand was anstellt. Es nützt also auch nichts mit einem Zeitstempel zu arbeiten da das reine Senden des Formulars ja genau so passiert wie bei normaler Nutzung. Ich habe inzwischen noch einige Dinge getan um das Ausbrechen aus dem Formular zu verhindern und auch um meine DB zu schützen und alles. Ob es genügt weiß ich nicht aber ich gehe mal ganz davon aus.