phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] RE: Problem mit Suchen nach extaktem Namen [NOTE]

Andreas Lange php_(at)_phpcenter.de
Tue, 16 Jul 2002 17:07:01 +0200

Previous message: [php] RE: Problem mit Suchen nach extaktem Namen [NOTE]
Next message: [php] RE: Problem mit Suchen nach extaktem Namen [NOTE]
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

> Subject: Re: [php] RE: Problem mit Suchen nach extaktem Namen [NOTE]
>
> Hallo,
>
> Andreas Lange schrieb am Dienstag, 16. Juli 2002 um 16:56:
>
> > Das $_GET[cat] innerhalb der SQL ist hoffentlich nur zur
> > Vereinfachung bzw. Anschauung hier im Forum gemacht worden ;-)
>
> Nicht wirklich... :-)
>
> > Das ist ansonsten die klassische Sicherheitslücke.
>
> +1 - wobei: Suchen nach Schlüsselwörtern, die sichtbar sind, ist
> nicht wirklich eine sensitive Sache. *g*

tjo ... aber wenn $_GET[cat] z.B. "';DROP ALL" enthält ... ;-)

allerdings tatsächlich kein akutes problem mehr. Man sollte aber auf
jeden Fall Daten vorher verifizieren ...

> > Vertraue niemals Daten, die vom User kommen!
>
> Vorschläge?

prüfen, ob die $_GET Variable nur bestimmte Zeichen enthält ... ;-)

z.B:
if (preg_match('#[a-zA-Z0-9]+#',$_GET[cat])) {
	... hier dann die abfrage ...
}

> Gruss,
> Andreas

Andreas Lange

PS: keine Garantie, das die preg funzelt ;-) aber alle möglichen Tests
    sind möglich, auch mit nicht "regulären" Ausdrücken

Previous message: [php] RE: Problem mit Suchen nach extaktem Namen [NOTE]
Next message: [php] RE: Problem mit Suchen nach extaktem Namen [NOTE]
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

php::bar PHP Wiki - Listenarchive