Mailinglisten-Archive |
* Stefan Weber: Hallo, > 1. nach dem Versenden mit "post" auf $_SERVER['PHP_SELF'] bestimmte > Variablen prüfen > OK, kein Problem !!! Lies dazu bitte auch die beiden folgenden Ressourcen: <http://shiflett.org/archive/211> <http://blog.phpdoc.info/archives/13-XSS-Woes.html> > 2. wenn nicht OK, dann auf das betreffende Feld zurückspringen. Am besten führst Du eine zweistufige Validierung durch: In der ersten Stufe prüfst Du die Formulardaten clientseitig mit JavaScript. Sollten die Werte nicht gültig sein, lehnst Du die weitere Verarbeitung ab und weißt den User auf seine Fehler hin (siehe unten). In der zweiten Stufe prüfst und säuberst die Formulardaten serverseitig. Hier solltest Du Wert darauf legen, dass der schmutzige Input gesäubert wird und ggf. die Verarbeitung nachvollziehbar eingestellt wird, wenn die Daten nicht plausibel sind. Dabei ist Stufe Zwei aus Gründen der Sicherheit unerlässlich. Stufe Eins dagegen muss sogar optional sein, da nicht jeder Client JavaScript unterstützen kann oder will. > Wenn es dafür ne gute Lösung (Lösungskonzept) gibt, wäre ich für einen > Hinweis sehr dankbar. Vielleicht ist für dich noch <http://www.einfach-fuer-alle.de/artikel/formulare/tag3/> interessant. Gruß, Christoph
php::bar PHP Wiki - Listenarchive