phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] Sicherheit, Output und htmlentities etc

Roland Haeder roland at mxchange.org
Sam Mar 28 02:08:13 CET 2009

Vorherige Nachricht: [php] Sicherheit, Output und htmlentities etc
Nächste Nachricht: [php] Sicherheit, Output und htmlentities etc
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

Hallo Andi,

ich hab dort htmlentities(), strip_tags() und mysql_special_chars() in
Verwendung. Zudem sichere ich reine Zahlenparameter (wie z.B.
foo.php?link_id=x) durch einen regulaeren Ausdruck ab, der Nicht-Zahlen
mit preg_replace() durch '' (Leer) austausch. Es bleiben somit nur
Zahlen uebrig.

Zudem sichere ich Includes mit einer eigenen Funktion LOAD_INC() (Scope
aendert sich! Vorsicht!) ab, in dem diese Funktion den vollen Pfad
vorwegstellt und mit file_exists() und is_readable() kontrolliert, ob
diese Datei lesbar ist.

Das ist bei meinem "legacy-Script" so der Fall und bis jetzt habe ich
keine Schwierigkeiten. :)

VG,
Roland

Vorherige Nachricht: [php] Sicherheit, Output und htmlentities etc
Nächste Nachricht: [php] Sicherheit, Output und htmlentities etc
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive