[php] USERDATA INPUT PARANOIA

[Ulf Wendel]

Armin Steiner wrote:
> 
> > durchführen. Oder dem Kunden sagen "Wenn einer mich ärgern will, die
> > Bibel durch sein Modem pustet, dann soll er doch ruhig ein
> > Programmabbruch erleben. Schädlich ist es nicht. Weder beeinflußt es die
> > anderen User, noch zerstört es die Datenbank. Nur sein Programm bleibt
> > mit einer kryptischen Fehlermeldung stehen."
> > Und dann zeige mir mal den Kunden, der noch einen weiteren halben
> > Manntag für Validierung bezahlt...
> 
> Jupps Ulf, gut gesprochen. Ich bin da mal glatt deiner Meinung.

Puh, Glück gehabt, ich lande nicht in der Verbannung ;-).

Die OOHForms der PHPLib liefern automatisch JavaScript und ServerSide
Validation. Das macht es in Einzelfällen leichter und preiswerter. 

Ob und in welchem Umfang die Plausibilität und Vollständigkeit der
Eingaben zu testen ist, bleibt jedem selbst überlassen.
Der reine Sicherheitsaspekt kann inzwischen etwas vernachlässigt werden.
Die großen Bugs sind aus PHP raus (BTW habt ihr von den safe_mode Bug
gelesen, den Kris gefunden hat?). Schlimmstenfalls kommt es zu
Programmabbrüchen.

Viel vorsichtiger sollte man sein, wenn man Usereingaben direkt an das
OS weiterleitet, z.B. via exec(). In diesem Fall sind ausführliche Tests
Pflicht, nicht Kür.

Ulf