[php] Text-form

[André Laugks]

Hallo!

Thomas schrieb:
> Welche Funktionen sollte man ein user-input durchlaufen lassen bevor
> man es in eine DB speichert und es dann später wieder ausgibt, so dass
> man keine Gefahr eingeht, dass "böser" code übermittelt wird?
> Hätte vielleicht sogar jemand einen fertigen Ausschnitt aus einem Script
> für mich?

IMHO

Du solltest im allgemeinen überprüfen, ob die Daten die der
User über ein Formular übergibt, korrekt sind. Ein Name kann
keine Zahlen enthalten, eine Telefonnummer keine Sonderzeichen 
($%&"§)! Eine Email hat eine bestimmte Schreibweise. Lest Du in
Texten HTML/JS zu? Begrenze die Zeichen/Strings die der User in
ein Formular schreiben kann, z.B. eine Emailadresse nicht länger
als 100 Zeichen..., ein Vorname kann auch nicht 100 Zeichen sein
..., usw.! Ein Datum kannst Du mit Auswahlmenüs dem User anbieten.

Übernehme keine Daten mit GET, wenn Du das Formular per Post
versendest.

Sind die übermittelten Strings nicht länger als Deine 
Spalten an Zeichen zulassen oder können die Zeichen in die
betreffende Zeile geschrieben werden?! In ein INT-Feld kann
kein Buchstabe geschrieben werden. 

Umlaute wie ä, ö, ü etc. würde ich nicht maskiert in die DB
schreiben. Bei der Ausgabe kannst Du ja mit htmlentities() 
für die maskierung sorgen.

MfG, André Laugks