Eingabe-Validierung

[FrankWST]

Hallo,

bekanntlich muss man Benutzereingaben auf dem Server auf alles mögliche prüfen.
Neben den syntaktischen Dingen (z.B. ist es eine korrekte EMail-Adresse, besteht eine Postleitzahl aus 5 Ziffern, ...) sollte man unbedingt auch gegen SQL-Injection und ähnliche Gemeinheiten geschützt sein.

Nun meine Frage dazu:
Ich könnte mir vorstellen, dass jemand für soetwas mal eine PHP-Klasse geschrieben hat, die das alles kann!?
Kann jemand von Euch da was empfehlen?

Danke,
Frank

 

[Da_Chris]

Eine Universalklasse gibt es meines Wissens nicht.
Du musst halt bei jeder Problemstellung alle Usereingaben misstrauisch betrachten.
Und dann gibt es sicher für jedes Problem auch Lösungsansätze.
Sql injections begegnet man mit den richtigen Funktionen.
Email Adressen validiert man mit entsprechenden Klassen, Snipplets oder Funktionen.

 

[FrankWST]

Eine Universalklasse gibt es meines Wissens nicht.
Du musst halt bei jeder Problemstellung alle Usereingaben misstrauisch betrachten.
Und dann gibt es sicher für jedes Problem auch Lösungsansätze.
Sql injections begegnet man mit den richtigen Funktionen.
Email Adressen validiert man mit entsprechenden Klassen, Snipplets oder Funktionen.

Genau.
Und da habe ich den Traum es könnte schon eine "eierlegende Wollmilchsau" geben, die das alles kann...

 

[Da_Chris]

Naja eine Interessante Idee ist es schon....

 

[timestamp]

Hi

ich denke so eine Klasse wäre zwar ein nice2have, allerdings viel zu viel Aufwand. Bei den bestimmt 1000 Dingen die man prüfen könnte, wird man sicherlich höchsten 5-10% der Klasse nutzen.

 

[Da_Chris]

jo für sowas ist auch eine Entwicklungsumgebung mit Snipplet-Datenbank hilfreich

 

[FrankWST]

Hi

ich denke so eine Klasse wäre zwar ein nice2have, allerdings viel zu viel Aufwand. Bei den bestimmt 1000 Dingen die man prüfen könnte, wird man sicherlich höchsten 5-10% der Klasse nutzen.

OK, das stimmt natürlich.
Aber zumindest ein Prüfung gegen die "Gemeinheiten" (Injections aller Art) wäre doch schon denkbar!?

 

[Da_Chris]

OK, das stimmt natürlich.
Aber zumindest ein Prüfung gegen die "Gemeinheiten" (Injections aller Art) wäre doch schon denkbar!?

Für sql injections gibt dir mysql doch schon was an die hand.
Und ansonsten injections entstehen nur wenn du nicht jeder usereingabe misstraust....
Ich würde sogar behaupten, dass 90% aller Attacken auf Sorglosigkeit der Entwickler zurückzuführen ist
Ich meine hier in den Tutorials gibts auch nen guten Artikel dazu aber hab den Link grad nicht an der Hand.

 

[timestamp]

Hi

wie wäre es denn wenn du alle Eingaben verschlüsselt (z.b. base64) in der DB speicherst? Das sollte doch eigentlich total sicher sein oder?

 

[Yaslaw]

Ansonsten beitet dir filter_import_array() einige gute Möglichkeiten.....