Mailinglisten-Archive |
* Stefan Weber: Hallo, > 1. nach dem Versenden mit "post" auf $_SERVER['PHP_SELF'] bestimmte > Variablen pr�fen > OK, kein Problem !!! Lies dazu bitte auch die beiden folgenden Ressourcen: <http://shiflett.org/archive/211> <http://blog.phpdoc.info/archives/13-XSS-Woes.html> > 2. wenn nicht OK, dann auf das betreffende Feld zur�ckspringen. Am besten f�hrst Du eine zweistufige Validierung durch: In der ersten Stufe pr�fst Du die Formulardaten clientseitig mit JavaScript. Sollten die Werte nicht g�ltig sein, lehnst Du die weitere Verarbeitung ab und wei�t den User auf seine Fehler hin (siehe unten). In der zweiten Stufe pr�fst und s�uberst die Formulardaten serverseitig. Hier solltest Du Wert darauf legen, dass der schmutzige Input ges�ubert wird und ggf. die Verarbeitung nachvollziehbar eingestellt wird, wenn die Daten nicht plausibel sind. Dabei ist Stufe Zwei aus Gr�nden der Sicherheit unerl�sslich. Stufe Eins dagegen muss sogar optional sein, da nicht jeder Client JavaScript unterst�tzen kann oder will. > Wenn es daf�r ne gute L�sung (L�sungskonzept) gibt, w�re ich f�r einen > Hinweis sehr dankbar. Vielleicht ist f�r dich noch <http://www.einfach-fuer-alle.de/artikel/formulare/tag3/> interessant. Gru�, Christoph
php::bar PHP Wiki - Listenarchive